개인정보를 이용한 크리덴셜 스터핑 공격

오늘은 개인정보를 이용한 크리덴셜 스터핑 공격에 대해서 다뤄보겠습니다. 이번이 벌써 다섯 번째 에세이인데, 벌써부터 마땅한 기사를 찾기가 힘들더군요. 원래 이 글의 목적 자체가 원래부터 보안을 잘 알고 있는 분들에게 기술적인 내용을 소개하기보다는, 전혀 보안을 모르거나 이제 막 시작한 분들에게 실생활에서 접할 수 있는 이슈들과 함께 쉽게 내용을 전달하기 위해서 쓰다보니 적절한 기사를 선정하는게 어렵습니다. 뉴스 기사에 너무 기술적인 내용만 나열되도 안되고, 너무 피상적인 내용만 있는 기사도 피해서 고르려다 보니, 알맞은 기사를 선정하는데 꽤 시간이 걸리는군요. 아무튼 한탄은 여기까지하고 본론으로 들어가보죠.

​

우선 크리덴셜이라고 하는 것부터 설명드리겠습니다. IT에서 크리덴셜(Credential)이라고 하면 보통 암호화 될 수 있는 개인정보, 쉽게 말해서 저희가 특정 사이트에 로그인할 때 쓰는 아이디와 비밀번호로 생각하시면 됩니다. 그리고 스터핑(Stuffing)은 우리말로 하면 '대입'이라는 말인데 두 단어를 합쳐서 크리덴셜 스터핑이라고 하면, 특정 사이트에서 획득한 개인 정보를 기반으로 다른 사이트에 대입하여 공격하는 기법으로 생각하시면 충분할 것 같습니다.

​

일단 생각해보면 해커가 이런 공격을 하기 쉬운 상황인게, 저만 해도 그렇고 대부분의 사람들이 구글을 포함해서 다양한 웹 사이트를 가입할 때 아이디와 비밀번호를 거의 다 비슷하게 사용하고 있죠. 물론 보안을 위해 모두 다 다르게 사용하시는 분들도 있겠지만, 일단 전 귀찮아서라도 그렇게 못할 것 같고.. 만약 모두 다르게 한다면 매번 로그인 페이지에서 비밀번호 찾기를 눌러서 재발급 받는 자신을 보게 될 것 같습니다.

 

그래서 이렇게 되면 뭐가 문제인가를 물어보시면.. 극단적으로 생각해보죠. 지금 사용하고 있는 티스토리 블로그에서 해킹을 당해 제 아이디와 비밀번호가 유출되었다고 가정해 봅시다. 그것도 비밀번호가 그냥 평문으로 말이죠. 원래는 비밀번호는 일방향 암호화를 이용해서 해시값으로 저장되어야 하지만 여기서는 쉬운 설명을 위해 그냥 넘어가도록 하겠습니다. 그런데 인터넷뱅킹에서도 같은 아이디와 비밀번호를 사용한다면.. 그 뒤는 말을 하지 않아도 아실거라 생각합니다.

​

물론 요즘 인터넷뱅킹에서는 단순 아이디와 비밀번호로 접속하면 계좌 조회 밖에 되지 않습니다만, 해커가 제 스마트폰도 해킹하고 보안카드도 가지고 있다면 돈을 빼가는 것도 충분히 가능한 시나리오겠죠. 또한 유출된 정보에 비밀번호가 암호화되어 있어도 브루트 포스(Brute Force, 무작위 대입) 기법을 이용하여 비밀번호를 유추하거나, 다른 경로를 통해 알아낼 가능성도 충분히 있습니다. 이 개인정보 암호화에 대해서는 추후에 다뤄보도록 하죠.

​

보통 해커 조직이 특정 기업의 정보를 유출하면 대부분 그 정보들을 다크웹에 올리게 됩니다. 그리고 이렇게 다크웹에 올라온 정보를 다른 사람이 돈을 주고 사게 되어 이 정보들을 2차 범죄에 사용하게 되는데, 여기에 사용자의 아이디와 비밀번호가 있다면 바로 다른 사이트에 입력해 보겠죠. 여기서 다크웹에 대해서 간단히 설명드리자면, 그냥 저희가 이용하는 인터넷 익스플로러라든지 크롬 같은 브라우저에서는 찾을 수 없는 사이트로 생각하시면 됩니다.

​

다크웹에서는 일반적으로 저희가 들어갈 수 없는 사이트들을 다 들어갈 수 있으며, 이 다크웹에는 오버레이 네트워크와 같은 기술적인 내용을 포함하고 있지만 여기선 넘어가도록 하겠습니다. 참고로 구글과 같은 일반적인 검색 엔진으로 찾지 못하는 모든 웹 페이지를 딥웹이라고 하고, 그 중 토르(Tor) 같은 특정 브라우저를 통해 암호화된 네트워크에서워크에서만 접근할 수 있는 웹을 다크웹이라고 부릅니다. 가끔 다크웹과 딥웹을 헷갈리시는 경우가 있는데 자세하게 설명드리진 않았지만 확실한 차이점이 있으니 알고 가셨으면 합니다.

​

여기까지 크리덴셜 스터핑과 다크웹에 대해 설명을 드렸고, 그러면 이 공격에 당하지 않으려면 어떻게 해야하나를 물어보시면.. 결국 어느 사이트에서 개인정보가 유출되는 것은 저희 힘으로 막을 수 없는 일이기 때문에, 제일 좋은 방법은 '각 사이트 마다 아이디, 비밀번호를 다르게 만든다'겠죠. 하지만 현실적으로는 그러기 어렵기 때문에 처음부터 매우 어려운 비밀번호를 설정하던지, OTP와 같이 2차인증을 이용하여 추가적인 피해를 막아야한다.. 정도로 생각하시면 될 것 같습니다.

​

인기 스트리밍 서비스 스포티파이, 크리덴셜 스터핑에 당해 와

 

위의 기사의 내용을 간단히 요약하게 말씀드리면.. 스포티파이라고 하는 음악 스트리밍 서비스 제공 업체가 해킹을 당했기 때문에 그 사이트에 가입한 사용자의 개인정보가 유출이 되었고, 다크웹에서 이 정보를 얻은 해커들이 크리덴셜 스터핑 공격을 했다..라는게 주된 내용입니다. 오늘 말씀드릴 내용은 여기까지이며 이만 줄이도록 하겠습니다. 감사합니다.