Home > 전체기사

인기 스트리밍 서비스 스포티파이, 크리덴셜 스터핑에 당해 와

  |  입력 : 2020-11-24 13:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
우연히 발견하게 된 데이터베이스…보호되지 않은 채 인터넷에 노출돼
스포티파이 계정들을 겨냥한 크리덴셜 스터핑 공격 의심되는 흔적들 나타나


[보안뉴스 문가용 기자] 인기 음악 스트리밍 서비스인 스포티파이(Spotify)의 구독자들이 최근 크리덴셜 스터핑 공격으로 인해 여러 가지 피해와 불편을 경험하게 됐다. 스포티파이와 연루된 일련의 공격 행위들을 보안 업체 vpn멘토(vpnMentor)가 조사해 발표했다.

[이미지 = utoimage]


크리덴셜 스터핑 공격은 여러 온라인 계정들에 같은 비밀번호를 사용하는 사람들에게 특히 치명적으로 작용할 수 있다. 공격자들이 여러 경로로 입수한 ID와 비밀번호를 여러 서비스에 대입함으로써 계정을 훔치는 기법이며, 사이버 범죄자들은 지난 수년 동안 이 기법을 통해 여러 서비스에서 각종 공격을 진행시켰다. 얼마 전에는 인기 의류 브랜드인 노스페이스도 이런 식으로 당했다.

vpn멘토의 연구 팀은 얼마 전 인터넷에 노출된 엘라스틱서치(Elasticsearch) 데이터베이스를 발견했다. 3억 8천만 명이 넘는 개인들의 기록들이 저장되어 있었다. 기록들에는 로그인 크리덴셜을 포함한 각종 개인정보들이 포함되어 있었다. 주로 스포티파이 계정들에 크리덴셜 스터핑 공격을 감행해 얻어낸 정보들로 보였다. 용량은 72GB였다.

데이터베이스는 서드파티 조직의 것이었으며, 해당 조직은 이 데이터베이스에 스포티파이 고객의 정보를 훔쳐 저장한 것으로 보인다고 한다. 크리덴셜 스터핑 공격을 위해 사용했던 크리덴셜들 역시 불법적으로 취득한 것으로 의심되는 상황이다. 스포티파이 측도 이 DB를 검토해 “스포티파이 서비스와 사용자들을 겨냥한 사기 공격을 누군가 준비 중이었던 것으로 보인다”는 의견을 냈다.

이에 스포티파이는 전체 고객들의 비밀번호를 리셋시켰다. 해당 DB의 소유주가 애써 수집한 정보가 무용지물로 변했다. 이번 사건의 영향을 받은 고객들은 30만~35만 명으로 추산된다. 3억 명에 달하는 스포티파이 사용자들의 수를 생각했을 때 극심한 피해라고 하기는 힘들다.

하지만 아직 공격자들의 공격 기법이나 출신 배경, 배후 세력 등은 전혀 알 수 없는 상태다. 스포티파이는 자사 블로그를 통해 “타 플랫폼에서 훔친 크리덴셜을 스포티파이에 대입하는 기법을 활용했을 가능성이 높다”고 제안하기는 했다.

이와 같은 데이터베이슬를 마련함으로써 할 수 있는 공격에는 어떤 것들이 있을까? “공격자들이 직접 사기 공격에 활용할 수도 있었겠지만, 누군가에게 팔아 넘겨서 금전적 이득을 취할 수도 있습니다. 이런 데이터베이스를 찾는 사람은 다크웹에 얼마든지 있거든요. 이번에 획득한 정보들을 가지고 다른 소셜 미디어에서 검색해 개인을 특정할 수도 있습니다. 혹은 이러한 정보들을 바탕으로 허위 계정을 만들어 다른 공격을 시도할 수도 있겠죠.” vpn멘토 측의 설명이다.

조직들은 이러한 크리덴셜 스터핑 공격에 보다 주의해야 할 필요가 있다. 특히 요즘은 공격자들이 자동화 솔루션을 가지고 공격을 진행하기 때문에 전통의 보호 방식으로는 보안을 제대로 할 수는 없다. 사용자들은 고유의 비밀번호를 서비스마다 설정하든가, 매우 어려운 비밀번호를 주기적으로 정하고, 이중 인증 옵션을 활용해 이러한 공격에 대처할 수 있다. 비밀번호 관리자 프로그램이 권장되기도 한다.

또한 스포티파이 계정을 보유하고 있고, 그 계정에 로그인 하기 위해 사용하는 비밀번호를 다른 서비스에도 사용할 경우, 해당 서비스들의 로그인 정보를 수정하는 것이 안전하다. 보안 업체 노비포(KnowBe4)의 보안 전문가는 트위터를 통해 “이번 사건은 공격자들이 반드시 고급 해킹 공격을 가지고 있을 필요가 없다”는 걸 드러낸다며 “그들에게 중요한 건 기술적 성취를 이러내는 게 아니라 여러 가지 이득을 취하는 것”임을 강조했다.

“해킹이 낭만처럼 보이던 시대는 이미 오래 전에 지나갔습니다. 그러면서 천재들이 해킹하는 게 아니라 악당들이 해킹을 하게 됐죠. 최근에는 크리덴셜이 다크웹에 넘쳐나다 보니, 이를 가지고 각종 공격이 연구 및 시도되고 있고, 그 중 가장 흔한 것이 크리덴셜 스터핑인 상황입니다. 조직 차원에서의 보안 교육만이 아니라, 개개인의 보안 인식 제고가 필요합니다.”

3줄 요약
1. 최근 인터넷에 노출된 데이터베이스가 하나 발견됨.
2. 스포티파이 계정을 크리덴셜 스터핑으로 공격한 뒤 수집한 정보가 저장되어 있었음.
3. 고급 기술 없이도 피해 입힐 수 있는 해커들, 기본 보안 인식 제고로 대응해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협