크리덴셜 스터핑 공격에 노출된 프랑스산 유튜브, 데일리모션

이전 유출 자료 확보한 공격자들이 자동 스크립트로 비밀번호 대입하는 공격
일반 사용자들의 비밀번호 사용 습관 때문에 성공 가능성 높아

[보안뉴스 문가용 기자] 동영상 공유 플랫폼인 데일리모션(Dailymotion)이 대규모 해킹 공격을 받았다. 최근 사용자들의 크리덴셜 정보를 수집하려는 대규모 공격이 진행 중인데, 여기에 걸려든 것이다.

[이미지 = iclickart]

프랑스판 유튜브인 데일리모션은 얼마 전 “신원을 알 수 없는 공격자들이 지속적으로 브루트포스 공격을 통해 사용자들의 비밀번호를 뚫고 있다”는 경고를 내보냈다. “데일리모션의 고객들 중 직접적인 공격을 받은 분들에게는 개별적으로 연락을 보냈습니다. 프랑스의 정보 보호 기관인 CNIL에도 해당 사실을 알렸으며, 공격을 막고 피해를 감소시키기 위해 노력을 다 하고 있습니다.”

데일리모션의 월별 고유 방문자는 3억 명에 달하며, 약 350억 건의 영상이 열람되는 것으로 알려져 있다.

데일리모션 등에 가해진 공격은 일종의 크리덴셜 스터핑(credential stuffig) 공격으로, 자동화 기술을 통해 대량의 비밀번호를 대입하는 것이다. 비밀번호가 맞아 들어갈 때까지 공격은 계속되며, 공격자들이 무작위 대입에 사용하는 건 이전 정보 유출 사고 때 공개된 비밀번호들이다. 이 공격이 통하는 건, 많은 사람들이 똑같은 비밀번호를 여러 곳에 사용하기 때문이다.

“다중인증 옵션을 사용하지 않는 사용자나, 그러한 옵션을 제공하지 않는 웹사이트들은 이런 공격에 휘둘리기 쉽습니다.” 보안 업체 원스팬(OneSpan)의 정책 및 표준 책임자인 마이클 매그래스(Michael Magrath)의 설명이다. “지난 몇 년 동안 비밀번호를 탈취하는 공격이 지속적으로 이뤄졌습니다. 그렇지만 사용자들의 행동 패턴은 변하지 않고 있죠. 그래서 자연스럽게 탄생한 게 크리덴셜 스터핑 공격입니다. 다중인증을 사용해 비밀번호 외에 또 다른 보호 층위를 더하면 막을 수 있습니다.”

보안 업체 셰입 시큐리티(Shape Security)가 2018년도에 발표한 보고서에 의하면 온라인 사기 로그인 시도의 80~90%는 크리덴셜 스터핑 기법을 수반한다고 한다. 또한 호텔과 숙박 관련 웹사이트에 대한 사기성 로그인 시도 중 82%가 크리덴셜 스터핑을 통한 것이었다고 덧붙이기도 했다. 항공사의 경우 65%가 크리덴셜 스터핑으로 인한 계정 탈취 공격을 받는다.

보안 업체 스탤스비츠 테크놀로지스(STEALTHbits Technologies)의 부회장인 로드 시몬스(Rod Simmons)는 “최근 유명 브랜드에 크리덴셜 스터핑 공격이 자주 일어나고 있는데, 웹 관리자들이 이 점을 특별히 유의해 받아들여야 한다”고 말한다.

“비밀번호를 바꾸라는 알림 메시지를 사용자에게 자주 내보내는 건 실패한다는 걸 배웠습니다. 사람들은 비밀번호를 바꾸기를 귀찮아하거나, 바꾸고도 잊어버려서 다시 하나만 사용하기 시작합니다. 사용자 편에서 크리덴셜 스터핑 공격을 막아달라고 하는 건 안 될 일이라는 게 증명됐다고 생각합니다.”

그러면서 그는 “이중인증 혹은 다중인증 옵션을 웹사이트들이 적용해야 한다”고 주장한다. “이제 이러한 인증 옵션이 전체적으로 정착되어야 합니다. 문화처럼 말이죠. 그래야 크리덴셜 스터핑과 같은 간편한 공격이 높은 성공률을 기록하지 못하게 될 겁니다.”

3줄 요약
1. 최근 데일리모션 등 유명 브랜드에 대한 크리덴셜 스터핑 공격 증가하고 있음.
2. 사용자들이 같은 비밀번호를 여러 곳에서 사용하기 때문에 성립하는 공격 유형.
3. 사용자의 비밀번호 사용 습관 고치라고 해봐야 늘 실패. 다중인증이 문화가 되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)