보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

최근 ‘브라우저 자동 로그인’ 기능 악용한 계정정보 탈취 범죄 급증

입력 : 2024-03-05 17:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
KISA, 크롬·엣지·파이어폭스 브라우저 자동 로그인 비활성화 및 사용자 주의 권고
계정정보 탈취 후 2차 공격 이어질 수 있어...사이트별 계정정보 달리하고 2차 인증 필요


[보안뉴스 박은주 기자] 최근 브라우저 자동 로그인 기능을 악용한 계정정보 탈취 범죄가 급증하고 있다. 자동 로그인된 PC가 악성코드에 감염됐거나 공용 PC에서 자동 로그인 기능을 사용할 경우 개인정보 유출 및 피해가 발생할 수 있다. 따라서 사용자는 자동 로그인 기능을 비활성화하고 계정정보 유출에 주의를 기울여야 한다.

[이미지=gettyimagesbank]


한국인터넷진흥원(KISA)은 5일 보안공지를 통해 브라우저 자동 로그인 기능을 악용한 계정 탈취 범죄가 급증하고 있다고 밝히며, 자동 로그인 기능 비활성화 및 사용자 주의를 당부했다.

▲MS 엣지 자동 로그인 설정 페이지[캡처=보안뉴스]


해당 위협에 영향받는 브라우저는 △구글 크롬(Google Chrome) △MS 엣지(Microsoft Edge) △모질라 파이어폭스(Mozilla FireFox)이다. KISA에서 권고하는 대응방안은 다음과 같다. ‘구글 크롬’은 페이지 오른쪽 상단 프로필 비밀번호를 선택해 설정 메뉴에서 자동 로그인 사용을 중지한다. ‘MS 엣지’는 오른쪽 상단 더보기 클릭 후, 설정에 들어가 프로필을 선택한다. 이후 암호를 선택해 자동으로 로그인 및 암호 필드에 암호 나타내기 단추 옵션을 모두 ‘사용 안함’으로 변경한다. ‘모질라 파이어폭스’는 오른쪽 상단 더보기 클릭 후 설정을 선택해 개인정보 및 보안 메뉴에 접속한다. 이후 저장된 로그인을 선택해 목록에 있는 정보를 모두 제거하는 방법이다.

일례로 지난 2월 국가정보원은 국가·공공기관 정보 서비스 이용자 1만 3,000개 가량의 개인정보가 다크웹에 유출됐다고 밝혔다. 해당 공격은 사용자의 아이디와 비밀번호 등 개인정보를 탈취하는 악성코드인 인포스틸러(Infostealer)를 활용한 것으로 드러났다. 공격자는 각종 콘텐츠 및 파일이 오가는 웹하드, P2P 사이트, 블로그 등에 인포스틸러를 은닉한 불법 소프트웨어를 유통하는 방식으로 악성코드를 퍼트렸다. 인포스틸러를 활용해 사용자의 아이디, 패스워드 등 개인정보를 탈취한 것이다.

이때 자동 로그인 기능을 사용할 경우 각별한 주의가 필요하다. 이미 로그인된 계정의 경우 공격자가 더 빠르게 쿠키 및 세션 등 계정정보를 탈취할 수 있기 때문이다.

공격자가 인포스틸러로 탈취한 개인정보를 토대로 크리덴셜 스터핑(Credential Stuffing) 공격을 시도할 수 있다. 크리덴셜 스터핑은 유출된 아이디와 비밀번호를 여러 웹사이트나 애플리케이션에 대입해 로그인되면 개인정보나 자료를 탈취하는 공격 기법이다. 편리하다는 이유로 사이트마다 똑같은 아이디와 패스워드를 사용했을 경우 연쇄적인 피해를 볼 수 있다.

지난 1월 엔씨소프트 게임 ‘쓰론 앤 리버티(THRONE AND LIBERTY)’에서 크리덴셜 스터핑으로 일부 계정과 게임 머니가 탈취됐고, 2023년 7월 스타벅스코리아에서 부정 로그인 및 충전금 결제 도용 사건이 벌어지기도 했다. 과학기술정보통신부의 침해사고 조사결과 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 약 0.3% 정도로 집계된 바 있다.

따라서 계정정보 탈취를 예방하기 위해서는 자동 로그인 기능을 비활성화하고 사이트마다 다른 아이디와 비밀번호를 사용해야 한다. 더불어 2차 인증을 사용하는 것이 안전하다. 만일 해외에서 로그인을 시도했다는 알림을 받거나, 여러 웹사이트에서 유출된 아이디와 비밀번호로 계속해서 피해가 발생하는 경우 계정정보 유출을 의심해 볼 수 있다. 자주 사용하는 계정의 정보 유출 여부는 개인정보보호위원회와 KISA에서 운용하는 ‘털린 내 정보 찾기 서비스’를 통해 확인할 수 있다.

이와 함께 기관과 기업에서는 로그인 시도 횟수를 제한하거나 2차 인증 기능을 제공하는 등 이용자 인증 보안을 강화할 필요가 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)