Home > 전체기사 > 외신
[주말판] 크리덴셜 탈취로부터 오는 위협, 빠르게 대응하려면
  |  입력 : 2020-09-05 15:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
크리덴셜 탈취, 현대 사이버 공격자들 사이의 가장 유효한 공격 경로이자 전략
인터넷에 돌아다니는 자료 총 160억 건...중복 자료 및 허위 데이터부터 제거해야


[보안뉴스 문가용 기자] 현재 온라인 상으로 구할 수 있는 도난 크레덴셜의 수가 150억 개라고 한다. 심지어 그리 비싸지도 않다. 조직과 개인의 계정에 침투할 경로가 이렇게 많이 열려 있다는 뜻이다. 도난당한 크리덴셜을 파악하고 조치를 취할 구체적인 계획이 시급히 필요한 상황이다.

[이미지 = utoimage]


최근 보안 업체 디지털 셰도우즈(Digital Shadows)가 조사한 바에 의하면 다크웹과 일반 웹에서 현재 구할 수 있는 크리덴셜 중 2/3이 중복되어 있으며, 80%가 평문으로 만들어져 있다고 한다. 일반 개개인으로서가 아니라 특정 조직의 일원으로서 사용되는 크리덴셜들이 대단히 많이 포함되어 있어 조직 차원의 대처가 필요한 상황이라는 경고도 덧붙였다.

‘우리 조직의 크리덴셜 중 밖으로 새나간 것에는 무엇이 있는가?’ 이를 조사하고 그 결과 따른 대처법을 마련하는 건 전부 보안 담당자의 책임이다. 디지털 셰도우즈의 제품 관리자인 마이클 매리엇(Michael Marriott)은 “먼저 유출된 크리덴셜을 통해 공격자들이 내부 시스템과 데이터에 접근할 수 있는지 확인하는 것이 관건”이라고 조언한다.

“유출된 크리덴셜이 있다고 합시다. 그러면 제일 먼저 그게 현대적인 위협이 되는지, 혹은 더 이상 통하지 않는 위협이 되는지부터 알아야 합니다. 예를 들어 그 크리덴셜이 주인이 관리자라면 당장 조치를 취해야겠죠. 하지만 5년 전에 퇴사한 자라면, 그래서 아무런 권한도 없는 계정이라면 비교적 안심할 수 있게 될 겁니다.”

그러나 이게 말처럼 쉬운 건 아니다. 웹 상에서 구할 수 있는 크리덴셜이 150억 개라니 말이다. 따라서 실용적인 접근법이 필요하다. 매리어트는 “크리덴셜의 함정에 빠지면 보안 전문가들이 시간을 엄청나게 낭비하게 된다”며 “크리덴셜 유출에 대해 알게 될 때마다 반복적으로 해야 할 일이 있고 그렇지 않은 일이 있기 때문에 잘 구분해야 한다”고 조언한다. 이번 주말판에서는 크리덴셜 관련 위협에 관해 보안 담당자들이 할 수 있는 일들을 조명한다.

유출된 크리덴셜, 현직자의 것인가?
해커들의 암시장은 각종 기업들의 직원용 크리덴셜로 가득하다. 사용자 이름과 비밀번호의 조합으로 유통되는 것이 보통이다. 디지털 셰도우즈가 조사한 바에 의하면 식음료 산업군에 소속된 조직들은 평균 8만 7천 개가 넘는 크리덴셜이, 교육과 기술 조직들은 평균 4만 8천 개의 직원 크리덴셜이 현재 인터넷에 노출되어 있는 상태라고 한다.

그렇다고 이 모든 것이 전부 위협적으로 작용한다는 건 아니다. 크리덴셜의 주인이 산업을 떠난 상태라면 활성화 되지 않은 계정일 가능성이 높다. 비밀번호가 오래 전에 바뀌었을 수도 있다. 이런 경우라면 공격자가 가지고 있는 건 쓰레기나 다름이 없다. 그러므로 액면에 드러난 숫자와 진짜 위협이 되는 것의 차이를 구분해 필요한 부분에만 비밀번호 리셋 등의 투자를 하는 편이 좋다. 매리어트는 “이런 확인을 자동으로 해주는 솔루션들이 존재한다”고 팁을 제공하기도 했다.

같은 크리덴셜에 경보가 반복적으로 울리지 않게 한다
크리덴셜이라는 해커들의 재화가 가진 특성 상 중복된 것이 많다. 즉 보안 담당자의 레이더에 한 번 걸렸던 것이 여러 번 걸리는 경우가 많다는 것이다. 그렇다는 건 같은 건에 대하여 경보가 반복해서 울릴 수 있다는 뜻인데, 우선 보안 담당자들은 이 점부터 손봐야 한다. 이미 한 번 조사한 크리덴셜과, 더 이상 조직에 위험이 되지 않는 크리덴셜을 따로 모아 정리하고, 이를 경보 규칙에 적용시키는 것이 좋다. “해결과 처리가 끝난 크리덴셜에 대해서 경보가 다시는 울기지 않게 하는 것이 담당자들의 시간을 크게 아껴주는 결과를 낳습니다.”

중복된 데이터를 솎아낸다
위에서도 몇 차례 언급이 되었지만 온라인 상에서 구할 수 있는 도난 크리덴셜들 중에서는 중복 자료가 대단히 높은 비율을 차지한다. 즉 ‘고유 데이터’라는 게 진귀하고, 그 만큼 가치가 높다. 판매자들이 내놓은 DB들도 여러 중복 자료를 포함하고 있다. 따라서 크리덴셜을 조사할 때 확보한 DB에서 중복 크리덴셜을 먼저 찾아 지우는 시스템을 갖추면 분석가들의 시간을 극적으로 아껴줄 수 있게 된다.

“침해된 크리덴셜을 조사하고, 그와 관련된 위협을 줄여주는 일이 생각만큼 고되거나 지루한 일이 아닙니다. 다만 자동으로 처리할 수 있는 일들을 적당한 도구로 빠르고 정확하게 처리할 수 있어야 합니다. 알아서 중복 데이터를 지워준다거나, 크리덴셜 데이터 사이의 연관성을 찾아내 주는 도구들은 이미 시중에 많이 나와 있습니다.” 넷엔리치(Netenrich)의 CISO인 브랜든 호프만(Brandon Hoffman)의 설명이다.

잠깐, 이거 진짜 사용되고 있는 크리덴셜 맞긴 해?
온라인 상에서 크리덴셜이라는 이름으로 돌아다니는 자료들 중 진짜가 아닌 것들도 부지기수다. 심지어 진짜 피해자가 직접 생성하고 사용 중에 있는 크리덴셜을 거의 포함하지 않고 있는 DB도 있을 정도다. 왜? 사이버 범죄자들은 자기들끼리도 속고 속이기 때문이다. 그래서 이들은 데이터베이스의 덩치를 키우기 위해 가짜 크리덴셜을 마구 집어넣기도 한다. “전형적인 비밀번호 포맷을 지키지 않은 이상한 비밀번호들이 많다면, 그 DB는 가짜일 가능성이 높습니다.” 매리어트의 귀띔이다.

도난 및 유출 크리덴셜은 주기적으로 모니터링 해야 한다
계정 침해 사실을 실시간으로 파악하고 알릴 수만 있어도 크리덴셜 관련 보안 사고는 크게 줄어들 수 있다고 매리어트는 설명한다. “그러려면 해킹 포럼과 다크웹을 주기적으로 모니터링 할 수 있어야 합니다. 특히 크리덴셜이 거래되는 포럼과 마켓을 집중적으로 살펴야 하겠죠. 이런 서비스나 기능을 제공하는 무료 도구들이 이미 시장에 여럿 있습니다. 대표적인 건 ‘해브 아이 빈 폰드(Have I Been Pwned)’입니다.”

보안 업체 룩아웃(Lookout)의 수석 관리자인 스티븐 반다(Stephen Banda)는 “아이덴티티 모니터링 서비스를 활용하는 것도 좋은 방법”이라고 제안한다. “이런 서비스들은 크리덴셜 도난이 발생할 때 경보를 울려주죠. 심지어 크리덴셜이 범인들에 의해 사용되기 전에 이미 경보가 울립니다. 따라서 스스로 크리덴셜 관리가 힘든 조직들이라면 한 번쯤 생각해 볼 수 있는 옵션입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)