Breaking
사이버 보안(Cybersecurity)
프로그램 하나면 된다? '크리덴셜 스터핑' 공격 심각
2019-06-28 11:35:24
허서윤
▲로그인 자격 증명 해킹 사례가 급증하고 있다(사진=ⓒ픽사베이)

[라이헨바흐=허서윤 기자] 2014년 새로운 사이버 위협으로 등장했던 자격 증명 관련 해킹 사례가 불과 5년 만에 더 활개를 치고 있는 것으로 나타났다. 

자격 증명은 로그인 정보 등 개인 신상과 관련한 암호화된 정보를 일컫는 말로, 기술의 발전과 함께 사이버 해커들 역시 새로운 방법과 더 많은 수단을 찾아내 희생자들의 자격 증명 수집 공격을 수행하고 있는 것. 

IT 보안 전문 업체 리코디드 퓨처에 따르면 최근 실제로 통신과 결제 서비스, 전자상거래, 그리고 여행 예약 웹사이트 등 다양한 웹 서비스에서 크리덴셜 스터핑 공격이 만연하고 있는 것으로 나타났다. 

크리덴셜 스터핑 공격은 로그인 정보 등 암호화된 개인 신상 정보를 확보해 다른 계정에 마구 대입하는 공격을 뜻한다. 

즉, 해커들이 훔친 사용자 로그인 정보를 다른 웹사이트에 반복적으로 접속해 맞아들어갈 때 해당 정보를 탈취하는 수법이다.

크리덴셜 스터핑 공격 증가

사실 크리덴셜 스터핑 공격은 이미 많은 온라인 서비스 업체들에 의해 큰 문제로 인식되온지 오래다. 

고객 데이터 침해 피해를 본 일부 서비스 기업들은 아예 피해의 소지를 이 공격 탓으로 돌리기도 한다.

최근에는 미국 내 인기 있는 멕시코 음식 프랜차이즈인 치폴레가 이로 추정되는 공격으로 고객의 정보를 유출 당했다. 

당시 많은 사용자가 자신이 주문도 하지 않은 음식들이 결제 카드로 지불됐다고 인터넷에 항의한 것. 

실제로 사기 주문 건들은 실제 계정 사용자의 집 주소가 아닌 다른 곳으로 주문된 것으로 나타났다. 

당시 한 사용자는 트위터에서 자신의 계정이 해킹당했다며 누군가 치폴레에서 42달러 치의 음식을 자신의 신용 카드로 결제했다고 주장했다. 

또한 매장에 연락했지만 아무런 대응이 없어 웹사이트에 관련 조치를 요구했다는 것. 

이러한 사용자들이 늘어나자 치폴레는 대변인을 앞세워, 해당 사건들이 크리덴셜 스터핑 공격으로 인해 발생한 것이라고 주장했다.

음식 배달 앱 서비스인 도어대시 역시 지난해 유사한 문제를 겪었다. 

이 업체 역시 치폴레처럼 크리덴셜 스터핑 공격을 그 배후로 지목했다. 그러면서 총 고객의 1%에만 영향을 미쳤다고 강조했다.

▲치폴레와 도어대시 등은 자사의 고객 정보 침해 사건을 크리덴셜 스터핑 공격으로 돌리고 있다(사진=ⓒ위키미디어 커먼스)

탈취된 로그인 자격 증명의 높은 수요 및 공급

최근 한 보고서에 따르면 도난당한 계정의 자격 증명이 이미 다크웹상에서 거대한 가치를 지닌 상품으로 전락했다. 

계정을 거래하는 웹사이트들이 플랫폼에서 급증, 사이버 범죄자들 사이에서 인기가 높다. 이는 곧 활용도가 높은 형태인 크리덴셜 스터핑 공격의 증가를 불러온다.

게다가 현재에도 도난 계좌에 대한 수요가 높아지고 있어 크리덴셜 스터핑 공격자들은 탈취한 계정을 알파베이나 실크로드, 한사 마켓 등의 다크웹 시장에 대량으로 판매해 큰 이익을 보고 있다. 

판매하는 이들의 수 역시 이전보다 크게 늘어난 상태다. 

더 중요한 점은 이 같은 크리덴셜 스터핑 거래가 수동적 판매 방식에서 자동화되고 잘 수립된 기업 형태로 진화되고 있다는 데 있다. 

수동 판매에서 모든 잠재적 구매자들이 하나의 시스템에 모여 거래를 할 수 있는 보다 자동화되고 잘 확립된 기업으로 전환되는 것이다. 

이와 관련 보고서는 기존 모델 환경에서는 판매자가 먼저 거래를 수동으로 승인한 뒤 구매자가 데이터를 인도받을 수 있었지만, 자동화된 현재 모델에서는 피어투피어(P2P) 거래로 훨씬 더 개방적이 되고 있다고 경고했다.

다크웹 사이트의 회원들은 또한 자신들이 원하는 만큼 탈취된 계정을 업로드할 수 있으며, 판매할 때마다 수수료로 10~15%의 이익을 얻는다. 

보통 이러한 다크웹에서 거래되는 유출 데이터들은 사용자 이름부터 이메일 주소, 비밀번호 등으로 구성되지만, 계좌 잔액이나 지급 내역 및 거주지 주소 등 은행 계좌 정보가 포함된 데이터도 상당하다.

 

무기는 빠르게 발전한다

크리덴셜 스터핑 공격을 용이하게 하는 새로운 도구 개발 역시 지속적인 증가에 기여하는 요소다. 

대표적으로 계정 검사 및 확인 소프트웨어인 '체커스'로, 체커스는 크리덴셜 스터핑 공격의 주요 활용 도구다.

이 도구는 주로 기업을 타깃목표물로 해 설계된 것이 특징으로 보통 50~250달러 사이에 팔린다. 

일부 체커스들은 무료로 서비스를 제공하기도 한다. 이 경우 해당 체커스의 역량에 따라 기부금을 받는 형식으로 운영된다.

체커스는 다크웹에서 가져온 임의의 데이터베이스의 계정 자격 증명 세트, 즉 이메일과 암호 등으로 로그인해 목표 웹사이트에 침투하는 방식으로 이용된다. 

로그인이 성공하면 사용된 로그인 정보가 증명된 것이기 때문에 다크웹에서 판매될 가능성이 더 높아지게 된다. 

만일 한 번에 시도가 성공하지 않을 경우, 성공할 때까지 여러 번 해당 과정이 반복된다. 

이러한 계정 확인 소프트웨어로는 '스톰'을 비롯한 '블랙 불릿', '프라이빗 키퍼', 'SNIPR', '센트리 MBA', 그리고 옥시' 등이 있다. 

이러한 체커스는 다크웹이나 웹을 통해 손쉽게 접근할 수 있어 문제가 더 심각하다. 각 기업이나 기관은 이러한 사이버 공격 수단 발달 속도에 발맞춰 대응 수단을 마련할 필요가 있다.

 

[라이헨바흐=허서윤 기자]