Home > 전체기사

페이팔 사용자 3만 5천 명, 크리덴셜 스터핑 공격으로 개인정보 잃어

  |  입력 : 2023-01-20 17:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
페이팔 사용자 중 3만 5천여 명이 개인정보 탈취 공격에 당했다. 공격자들이 실행한 것은 크리덴셜 스터핑 공격으로, 피해자들은 다른 온라인 서비스에서 사용하던 비밀번호를 페이팔에서도 똑같이 사용한 것으로 추정된다.

[보안뉴스 문가용 기자] 3만 5천 명에 달하는 페이팔 사용자 계정이 최근 발생한 크리덴셜 스터핑 공격으로 침해됐다. 이 때문에 약 3만 5천 명의 페이팔 사용자들의 개인정보가 외부로 유출됐으며, 추가 사이버 공격에 연루될 수 있을 것으로 예상된다.

[이미지 = utoimage]


페이팔은 사건과 관련된 보고서를 유관 기관에 제출했고, 이 문서의 내용이 여러 매체들에 의해 보도되는 중이다. 페이팔이 진술한 내용에 따르면 공격이 시작된 것은 12월 6일의 일이고, 이상하다는 것을 탐지한 건 20일이었다고 한다. 그 기간 동안 3만 4942명의 이름, 주소, 사회 보장 번호, 납세자 식별 번호, 생년월일이 공격자들의 손에 넘어간 것으로 보인다고도 적혀 있다.

페이팔은 사건과 관련된 내용을 피해를 입은 고객들에게도 이메일로 전달했다. “아직까지는 도난 당한 개인정보가 악의적인 목적으로 사용되고 있다는 증거를 발견하지 못했습니다. 피해를 입은 계정들에 대한 불법적인 접근 시도도 없었습니다. 공격자들이 로그인 크리덴셜을 훔쳐간 것도 아닌 것으로 보입니다.”

또한 페이팔은 공격 징후가 발견됨과 동시에 계정들의 비밀번호를 전부 재설정했고 추가 보안 장치들을 적용하기 시작했다고 강조했다. 뿐만 아니라 에퀴팩스(Equifax)와 협조하여 신원 도난 모니터링 서비스를 피해자들에게 무료로 제공할 것이라고도 알렸다.

훔친 크리덴셜로 이뤄진 생태계
크리덴셜 스터핑 공격이 페이팔 플랫폼에서 이뤄졌다는 건, 공격자들이 이미 어디선가 여러 개의 사용자 ID와 비밀번호 조합을 확보했다는 뜻이다. 그리고 그 조합들이 제대로 작동하는 것인지 확인하기 위해 트위터라는 플랫폼에 들어와 실험을 해 본 것이다. 트위터 외에 다른 여러 인터넷 서비스에 각종 크리덴셜들을 대입해 보았을 것으로 짐작된다. 그 과정에서 3만 5천여 개 계정은 공격자들의 로그인을 허용한 것이다.

“이제 공격자들 손에는 정상적으로 로그인이 되는 페이팔 계정 3만 5천 개가 있습니다. 이런 경우 공격자들은 ‘확인된 조합’이라고 꾸며서 다크웹에 더 비싼 값으로 정보를 판매할 수 있습니다.” 보안 업체 시퀀스시큐리티(Cequence Security)의 보안 연구원 제이슨 켄트(Jason Kent)의 설명이다. “다크웹에서 ‘제대로 작동하는 것이 확인된 크리덴셜’이 갖는 가치는 꽤나 높습니다.”

보안 업체 노비포(KnowBe4)의 보안 전문가 에릭 크론(Erich Kron)은 “아무리 강력한 비밀번호라 하더라도 여기 저기 똑같이 사용하면 강력함이 발휘되지 않는다”고 강조한다. “만약 3만 5천 명의 피해자들이 그 어디에도 사용하지 않았던 비밀번호를 사용했다면 이번의 크리덴셜 스터핑과 같은 단순한 공격에 당하지 않았을 것입니다.”

크론은 “크리덴셜 스터핑 공격이 공격자들 사이에서 계속해서 성공적으로 활용되고 있는 건 비밀번호 관리 습관이 좋지 않다는 뜻”이라고 강조한다. “다른 유출 사고에서 확보한 크리덴셜을 아무 플랫폼에 가서 몇 번 집어넣는 것으로 공격이 성공한다는 건 요즘처럼 고도로 방어 기술이 발전한 시대에 일어난다고 믿기 힘든 일입니다. 비밀번호를 재사용한다는 건 보안에 대한 모든 노력을 한꺼번에 물거품으로 만드는 일이기도 합니다.”

그래서 크론은 비밀번호 관리 프로그램을 사용하는 것이 안전하다고 권장한다. “비밀번호 관리 프로그램이라고 해서 모든 보안 문제를 해결해주는 건 아닙니다. 하지만 적어도 이번 페이팔 사건과 같은 크리덴셜 스터핑 공격에 당하지는 않게 하죠.”

3줄 요약
1. 페이팔 플랫폼에서 크리덴셜 스터핑 공격이 발생함.
2. 이 때문에 3만 5천여 개 계정에 공격자들이 접근하는 데 성공.
3. 비밀번호를 재사용하면 모든 방어 기술을 무용지물로 만듦.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야