Breaking
사이버 보안(Cybersecurity)
대규모 이메일 주소 및 패스워드 유출 사고 발생 증가..ID 및 PW 안전 여부 확인 방법은?
2019-07-30 17:10:28
장희주
컬렉션 #1은 패스워드와 이메일 주소로 구성된 집합이다(출처=123RF)

[라이헨바흐=장희주 기자] 최근 몇 년 사이 발생한 가장 규모가 큰 데이터 유출 사건 중 하나가 표면 위로 부상했다.  유명한 보안전문가 토리 헌트는 7억 7,300만 개의 이메일 주소와 2,100만 개의 패스워드가 포함된 대규모 데이터가 유출됐다고 주장했다. 그는 이 데이터 침입 사건을 '컬렉션 #1'이라고 일컬었다.

컬렉션 #1 데이터 침입

토리 헌트에 따르면 컬렉션 #1은 26억 9,281만 8,238개 행의 패스워드와 이메일 주소다. 이 수치는 수천 개의 소스에서 수집된 여러 가지 개별 침입 사건으로 구성돼 있다. 그리고 이를 종합해보면 10억 개가 넘는 특별한 패스워드와 이메일 ID 조합이 나오는 것이다. 이 특별한 조합으로 패스워드는 상당히 민감하게 만들어지지만 그에 상응하는 이메일 주소는 그렇지 않다는 것을 알 수 있다.

컬렉션 #1에는 해커들이 데이터 덤프를 쉽게 소모 가능한 파일로 포맷하지 못했을 때 발생하는 정크도 포함돼 있다.

크리덴셜 스터핑이란 계정에 접근하기 위해 훔친 패스워드나 사용자명을 자동 입력하는 것을 말한다(출처=123RF)

데이터 덤프와 데이터 덤프가 온라인에서 유출되는 방법

최근 발생한 대규모 데이터 침입 사건 중 하나는, 수백만 개의 이메일 ID와 패스워드가 87GB 메모리 파일에 덤프된 후 온라인으로 유출된 것이다. 토리 헌트는 데이터 덤프의 로그인 자격 증명을 보면 이미 수년에 걸쳐 데이터가 비축됐다는 것을 알 수 있다고 말했다. 일부 이메일과 패스워드가 2008년부터 사용되고 있었기 때문이라는 것이다.

헌트는 수백만 명으로부터 데이터를 수집하는 기업이 수집한 데이터를 적절하게 보호하지 못하는 경우 침입 사건이 발생할 수 있다고 말했다. 3억8,300만 명의 고객 개인 정보를 분실한 메리어트 인터내셔널을 예로 들 수 있다. 30억 사용자 계정에 피해를 입힌 야후 또한 역대 최대 규모 데이터 침입 사건의 피해자다.

최근의 사건처럼 대규모 데이터가 침입되면 정보에 접근한 해커들은 한 대의 컴퓨터 앞에 앉아 모든 이메일 계정에 로그인하려 하지 않는다. 대신 봇을 사용하고 스터핑 기술을 사용한다.

크리덴셜 스터핑이란 무엇인가?

크리덴셜 스터핑이란 계정에 접근하기 위해 훔친 패스워드나 사용자명을 자동 입력하는 것을 말한다. 이 부도덕한 행위는 잔인한 공격의 시초다.

그러나 헌트는 피해자들이 무력했기 때문에 공격을 받은 것이 아니라고 주장하고 있다. 사실 피해자들이 패스워드를 바꾸었어야 했다는 것이다.

공격 여부 확인 방법

헌트는 사용자들에게 앞서 말한 침입 사건으로 피해를 입었는지 확인해보고 싶다면 'Have I Been Pwned' 서비스를 사용해볼 것을 권장하고 있다. 이 인터넷 보안 사이트는 정보 유출 확인 용도로 만들어졌으며 사용자들은 자신의 개인 데이터 취약 여부를 확인할 수 있다. 이 서비스는 먼저 유출된 계정이 들어있는 수백 개의 페이스트빈과 데이터 덤프를 수집 및 분석한다.

Pwned 사이트에 가입하면 대화창에 이메일 ID를 입력한다. 그 후 피해 여부 상황을 메시지 창으로 알 수 있다.

헌트는 패스워드 누출이 감지되면 더는 해당 패스워드 사용을 중단할 것을 권장했다.

로그인 화면에서의 봇 트래픽

봇 보안 기업인 디스틸 네트웍스의 설립자 라미 에사이드는 대규모 데이터 침입 사건이 발생하면 특정 웹사이트의 로그인 화면에 봇 트래픽이 급증하게 만들 것이라고 주장했다. 해당 트래픽 발생 이유는 해커들이 훔친 정보를 통해 순환하고 있기 때문이라는 설명이다. 사용자가 여러 사이트나 플랫폼에서 오래된 패스워드를 계속 사용하고 있으면, 잠재적 해커들이 새로운 계정을 침입하기 위해 유출된 로그인 자격증명을 사용할 수 있다는 것이다. 이 때문에 패스워드 매니저를 사용하거나 패스워드를 주기적으로 바꿔야 한다. 패스워드 매니저 프로그램은 암호화된 데이터베이스에서 정보를 저장해 복잡한 패스워드를 검색 및 생성한다.

[라이헨바흐=장희주 기자]