Breaking
사이버 보안(Cybersecurity)
해킹 경험 로그인 정보 재공격 대상 된다…"특히 학생이 더 쉬운 공격 대상이다"
2019-06-26 18:29:55
허서윤
▲해커들이 오래전 유출된 로그인 자격 증명을 이용해 시스템에 강제로 침투하는 사건이 발생했다(사진=ⓒ123RF)

[라이헨바흐=허서윤 기자] 전문가들이 해킹 경험이 있는 로그인 정보의 취약점에 대해 경고하며 충분히 대비할 것을 조언했다. 

최근 소프트웨어 보안 업체인 프루프포인트의 정보 보호 연구팀이 발행한 보고서에 따르면 위협 행위자들이 과거에 도난당한 적이 있는 로그인 자격 증명을 사용해 시스템에 강제로 침투했다. 

이들은 다중 요소 인증 등에 대한 보안을 유지하기 어려운 비즈니스 시스템의 허점을 파고들었다.

오피스 365 및 지스위트와 같은 클라우드 서비스 시스템은 인터넷 메시지 액세스 프로토콜(IMAP)이라는 프로토콜을 구현하는 시스템이다. 

전자 메일, 공유 사서함 및 계정 정보가 포함된 클라우드 기반 플랫폼에서 해커들은 공격을 강화하기 위해 자격 정보를 덤핑한다. 

공격자들은 도용한 로그인 자격 증명을 이용해 기존 계정과 일치하는 자격 증명을 찾아 시스템에 액세스했다.

프루프포인트의 연구진은 "수백만 명의 클라우드 기반 계정 사용자들에 대해 수천 건의 인증되지 않은 로그인 시도를 발견했다"고 말했다. 72%의 가입자가 한 번 이상의 위협을 당했다. 

가입자 중 40%는 클라우드 기반 플랫폼에서 하나 이상의 계정 손상을 경험했으며 2%는 공격을 받는 동안 계정을 사용하고 있었다. 게다가 1만 개의 활성화 계정 중 15개가 해커들에 의해 성공적으로 액세스 됐다.

▲가입자 중 72%가 한 번 이상 위협의 대상이 됐다(사진=ⓒ123RF)

프루프포인트 연구진은 "여러 국가의 산업 중 교육 부문, 특히 유치원에서부터 고등학교 까지의 교육 부문이 이런 무차별 공격에 가장 취약하다"고 말했다. 

영향을 받은 모든 교육 기관의 70%가 IMAP 프로토콜을 악용한 무차별 공격의 대상이 됐으며 13% 이상의 성공적인 공격이 교육 부문을 목표로 삼았다. 학생들은 이런 공격을 제대로 인식하지 못하기 때문에 다른 산업 부문보다 교육 부문이 공격에 취약하다.

비밀번호 스프레이 공격

보고된 무차별 공격은 다중 요소 인증을 우회하고 클라우드 서비스의 계정을 공격하는 데 가장 효과적인 방법인 비밀번호 스프레이 공격 방식을 이용했다. 이 방법은 도난당한 로그인 자격 증명 및 피싱 공격과의 접목을 통해 다양한 변형이 가능하다.

오피스 365 및 지스위트 가입자의 60%가 IMAP 프로토콜을 악용해 비밀번호 스프레이 공격을 받았다. 그중 25%는 작년 9월~2019년 2월 사이에 발생한 것이고, 공격 대부분은 성공했다.

공격자가 대상 독립체의 계정을 공격하려고 시도하면 공격 성공률이 44%로 높아져 보안 침해가 발생할 수 있다. 

이처럼 IMAP를 사용하는 비밀번호 스프레이 공격의 목표가 되는 것은 대부분 회사의 임원 등 직급이 높은 사람부터 하급 직원까지 다양하다.

가입자 중 활성 사용자의 10%가 공격의 대상이 됐는데, 그중 1%는 실질적인 피해를 입었다. 

공격자는 취약한 라우터 및 서버와 같은 수천 가지의 침투된 네트워크 장치를 사용했다. 50일의 기간 중 매 2.5일 1명의 새로운 가입자가 공격의 영향을 받았다.

 

피싱 공격

IMAP에 대한 익스플로잇을 사용하는 비밀번호 스프레이 공격 외에도, 공격자가 계정에 액세스하는 데 사용하는 보조 공격 유형이 있다. 이 특정 방법은 내부 피싱 접근법을 사용해 목표물을 노리는 것이다.

프루프포인트의 보고서에 따르면 공격자는 내부자를 대상으로 피싱 공격을 해 시스템에 액세스할 권한을 얻는다. 

특히 공격자가 초기에 액세스 권한이 없는 경우에는 피싱을 이용해 우선 내부인의 전자 메일이나 연락처 정보를 해킹한 다음 그것을 발판 삼아 시스템 내부에 침투하는 식이다.

정교한 피싱 공격은 피해자가 의도치 않았음에도 자신의 계정과 로그인 자격 증명이 범죄 수단으로 사용되도록 만든다.

 

공격이 발생하는 곳

프루프포인트 연구진에 따르면 미국, 브라질 및 남아프리카 등에서 공격이 발생했다고 한다. 공격자의 IP 주소 대부분은 나이지리아로 추적됐다. 그중 40%의 공격이 성공했다. 중국에서 발생한 공격은 26%가 성공했다.

올 1월까지 나이지리아에서 발생한 계정 침투 및 피싱 공격의 성공 사례는 2개월 동안 65%나 증가했다. 

프루프포인트 연구진은 "나이지리아에서 공격이 시작됐다고 해서 나이지리라 시민이 공격의 배후라고 볼 수는 없다"고 말했다. 나이지리아에서는 사이버 관련 범죄에 대해 단호하게 대처하는 편이다.

[라이헨바흐=허서윤 기자]