본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.



최근 일부 연예인들의 스마트 폰이 해킹당해 문자메시지 등 개인정보가 유출되었다는 이슈가 연일 화제를 낳고 있습니다.


이번 사건은 초기에 스미싱이나 악성앱 감염으로 인한 위협노출 등 다양한 형태가 추정되었지만, 다른 곳에서 유출된 개인정보로 인한 2차 피해, 즉 크리덴셜 스터핑의 가능성에 무게가 실리고 있습니다.



* 크리덴셜 스터핑(Credential Stuffing)이란?

공격자가 여러 가지의 경로로 수집한 사용자들의 로그인 인증 정보(Credential)를 다른 사이트의 계정 정보에 마구 대입(Stuffing)하는 공격 방식



일반적으로 사용자들은 인터넷에서 자신만 사용하는 고유의 아이디를 갖고 있으며, 편의를 위하여 다양한 사이트에 동일한 로그인 인증정보를 공통으로 사용하는 경우가 있습니다.


일정 수준 이상의 규모를 가진 인터넷 서비스 기업들은 상당한 수준의 정보보안 체계를 구축하고 있기 때문에 고객들의 정보는 나름 높은 보안 수준으로 안전하게 보호되고 있습니다.


그렇기 때문에 공격자들은 상대적으로 취약한 보안체계를 구축하고 있는 영세한 웹사이트들을 공격 타깃으로 삼는 경우가 많습니다.


만약 이러한 사이트가 해킹을 당해 계정 유출사고가 발생하였다면, 해킹당한 사이트와 동일한 계정 정보(아이디, 비밀번호)를 사용하는 곳들의 개인정보는 잠재적 위협에 노출될 수 있다고 볼 수 있습니다.


하지만 해킹이 발생한다 해도 유출된 로그인 정보주체뿐만 아니라 해킹된 사이트의 정보보호 관리자들 역시 해킹된 사실을 인지하지 못하는 경우가 많습니다.


몇 년 전부터 현재까지 지속되고 있는 국내 유명 메신저 사칭 사건 역시 크리덴셜 스터핑 공격이라고 볼 수 있습니다.


[그림1] 유명 메신저 사칭 사기 사례

<이미지 출처 :  네이버>


누군가 자신을 사칭해 메신저에서 지인들, 혹은 가족들에게 금전을 요구하는 경우입니다. 


실제 내 휴대폰은 해킹당하지 않았는데, 어떻게 내 지인들 및 가족들의 정보를 과연 어떻게 알았을까?라는 의구심이 들수도 있지만, 이것 역시 크리덴셜 스터핑 공격의 일환입니다. 


즉, 어딘가에서 사용자의 로그인 계정 정보가 유출되었고, 만약 그 사용자가 자신의 휴대폰과 동기화된 클라우드 주소록에서 유출된 정보와 동일한 로그인 계정 정보를 사용하고 있다면, 해커들은 손쉽게 사용자 휴대폰 주소록에 있는 정보들을 획득할 수 있는 것입니다.



[그림2] 클라우드 주소록에 백업되어 있는 주소목록


실제 클라우드 주소록 서비스를 확인해 보면 내 휴대폰에 저장되어있는 정보들과 동일한 정보들이 백업되어있는 것을 볼 수 있습니다.


이렇게 유출된 개인정보로 인한 2차 피해를 방지하려면 사이트마다 다른 비밀번호를 사용해야 합니다. 하지만 비밀번호를 모두 다르게 설정하기가 힘들다면, 최소한 2단계 인증을 설정해 놓아야 합니다.


2단계 인증이란, 계정 정보 이외에 또 다른 정보(예를 들어 SMS로 전송되는 인증코드 등)를 입력해야만 본인 인증을 하는 방식입니다. 만약 계정 정보가 유출되었다고 하더라도 추가적인 정보를 확인할 수 없기 때문에 계정에 로그인을 할 수 없게 됩니다.


이번 사건과 관련하여 삼성도 역시 안전한 계정 사용을 위해 2단계 인증을 설정하라고 권고하고 있습니다.



[그림3] 삼성클라우드 공지사항


이밖에도 대형 사이트들에서는 2단계 인증 기능을 제공하고 있기 때문에 유출된 개인정보로 인한 2차 피해를 예방하기 위해서는 반드시 자주 사용하는 사이트의 2단계 인증 기능을 활성화해놓으시기 바랍니다.


※ 2단계 인증 설정 방법


 삼성계정 

휴대폰 설정 > 계정 > 삼성 계정 > 비밀번호 및 보안 > 2단계 인증 메뉴 활성화


▶ Apple ID

휴대폰 설정 > 사용자 이름 > 암호 및 보안 > 이중인증 켜기 > 계속


▶ 네이버

계정 로그인 > 내정보 > 보안설정 > 비밀번호 (2단계 인증) > 설정


▶ 다음카카오 

계정 로그인 > 내정보 > 2단계 인증 > 설정


▶ 구글

계정 로그인 > google 계정관리 > 보안 > 2단계 인증 > 설정