보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

사이버 공격자들, 훔친 크리덴셜 활용하는 데 몇 시간 걸리지 않는다

  |  입력 : 2021-06-09 17:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
크리덴셜 사고는 한 번 발생하면 수백만 건씩 침해된다. 다크웹에서 거래되는 단위도 수백~수천만 건이다. 이렇게 많은 걸 공격자들은 활용하기는 할까? 한 번 대량으로 구매해 몇 년씩 어딘가에 저장해 두고 오래오래 우려먹는 건 아닐까?

[보안뉴스 문가용 기자] 44개국의 사이버 공격자들이 클라우드 포털과 똑같이 생긴 웹 페이지를 만들어 사용자들의 크리덴셜을 수집할 뿐만 아니라 사용자 이름과 비밀번호의 조합을 수시간 만에 확인하는 작업까지도 마쳤으며, 확인이 끝난 조합들을 사용해 악성 페이로드를 전송하고 BEC 공격(기업 이메일 침해)을 실시하고 있다고 이메일 보안 전문 업체 애거리(Agari)가 경고했다.

[이미지 = utoimage]


애거리는 지난 6개월 동안 이메일과 관련된 사이버 공격자들을 추적해 왔다. 그 결과 피싱 공격자들 대부분이 마이크로소프트와 어도비의 서비스를 흉내 내고 있는 것으로 밝혀졌다. 또한 크리덴셜이 침해된 이후 피해자들이 대응할 시간을 충분히 주지 않는다는 사실도 드러났다. 애거리의 수석 연구원인 크레인 해슨(Crane Hasson)은 “공격자들이 대거 수집한 크리덴셜들을 확인하는 데 걸리는 시간은 무척 짧은 편”이라고 말했다. “절반의 크리덴셜을 확인하는 데 12시간, 전부를 확인하는 데 1주일도 채 걸리지 않습니다.”

공격자들이 침해한 크리덴셜을 확인하는 데 이 만큼의 시간이 걸린다는 건 무슨 뜻일까? “공격자들이 해킹 공격으로 가져가는 크리덴셜의 수는 어마어마하게 많습니다. 그렇기 때문에 그걸 다 가져간다고 하더라도 전부 활용할 수 없을 거라는 생각이 있지요. 한 동안은 가지고만 있지 그걸 가지고 현금화를 할 수 없을 거라고 여기는 건데요, 6개월 동안 추적해 보니 전혀 그렇지 않았습니다.”

클라우드 사용량이 늘어나면서 크리덴셜은 디지털 세계에서 ‘화폐’처럼 통용되고 있다. 그래서 크리덴셜 스터핑(credential stuffing)이라는 공격이 2020년 크게 유행했었다. 보안 업체 아카마이(Akamai)에 의하면 ‘실패한 로그인 시도’(크리덴셜 스터핑 공격은 훔친 크리덴셜을 여러 사이트에 대입해서 어떤 사이트에 해당 크리덴셜이 통하는지 확인하는 공격 기법이다)가 1930억 번 이상 기록되었다고 한다.

애거리는 ‘이렇게 많은 크리덴셜을 가지고 이렇게 많은 로그인 시도를 한다면, 사실 남겨진 것이 있지 않을까?’라는 궁금증에서 연구를 시작했다고 한다. 그래서 8천 개가 넘는 가짜 이메일 크리덴셜을 자동으로 생성한 후, 공격자들이 사용한다고 알려져 있는 피싱 사이트들에 흘렸다. 그리고 공격자들이 이 많은 크리덴셜을 가지고 무엇을 하는지 관찰했다.

일부 공격자들은 이 가짜 이메일 주소들을 사용해 1만 2천여 개의 스펨 메시지를 발송했다. 부동산 업계 종사자들과 지불 및 대출 업체에 이메일들은 날아갔다. 2시간 만에 벌어진 일이었다. 이 스팸 메시지 내에는 악성 링크가 첨부되어 있었고, 링크에 연결할 경우 피해자의 크리덴셜을 입력하라는 페이지가 떴다. 즉 새로 획득한 크리덴셜을 가지고 2시간 만에 더 많은 크리덴셜을 확보하기 위한 공격을 실시한 것이었다.

또 다른 공격자는 러시아 멀웨어 개발자가 만든 키트를 사용해 크리덴셜들을 전부 확인하기 시작했다. 그리고 확인이 된 크리덴셜들을 복제해 고객에게 판매했다. 물론 자기가 원본은 가지고 있었다. 재빠르게 수익 창출 시도를 이어간 것이었다.

해슨은 “공격자들은 침해된 크리덴셜을 빠르고 다양한 방법으로 활용한다는 걸 확인할 수 있었다”고 밝혔다. “예로 든 한두 가지 활용 사례는 빙산의 일각에 불과합니다. 이들을 지켜보고 있자니 마치 스위스 군용 칼을 보는 듯 했습니다. 갖가지 무기와 아이디어를 가지고 있더군요.”

BEC 공격과 각종 온라인 사기로 유명한 나이지리아가 침해된 크리덴셜을 가장 많이 소비하는 국가로 조사됐다. 전체 침해 크리덴셜의 47%가 나이지리아에서 사용됐다. 그 다음은 미국으로 19%, 그 다음은 남아프리카공화국과 UAE가 각각 6%를 기록했다. 공격 행위자들 대부분 프록시를 사용함으로써 자신들의 실제 위치를 감추려 했지만 41%의 경우 현 위치를 파악할 수 있었다고 한다. 또한 “사용자와 피싱 사이트 설립자는 항상 겹치는 건 아니”라고 밝히기도 했다.

애거리는 다음 단계의 조사를 기획 중이라고 한다. “이번 연구에서 저희가 생성한 이메일 주소들에는 이메일이 한 통도 담겨 있지 않아 공격자들이 의심할 만했습니다. 따라서 다음 연구에서는 실제 이메일이 메일함에 담겨져 있는 계정을 만들 예정입니다.”

3줄 요약
1. 수천만에서 수억에 달하는 이메일 크리덴셜, 공격자들은 다 활용함.
2. 그것도 단 시간 안에 확인하고 팔고 재사용하는 등 높은 활용도 보임.
3. 침해된 크리덴셜 제일 많이 활용하는 나라는 나이지리아. 그 다음은 미국.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북