KISA, 크롬·엣지·파이어폭스 브라우저 자동 로그인 비활성화
및 사용자 주의 권고, 계정정보 탈취 후 2차 공격 이어질 수
있어...사이트별 계정정보 달리하고 2차 인증 필요
최근 브라우저 자동 로그인 기능을 악용한 계정정보 탈취 범죄가 급증하고 있다.
한국인터넷진흥원(KISA)은 5일 보안공지를 통해 브라우저 자동 로그인 기능을
악용한 계정 탈취 범죄가 급증하고 있다고 밝히며, 자동 로그인 기능 비활성화 및
사용자 주의를 당부했다.
대부분 브라우저는 편의를 위해 사용자별로 여러 홈페이지의 로그인 정보(ID,
Password)를 일괄 저장하고, 사이트 방문 시 자동으로 로그인을 할 수 있는 ‘자동
로그인’ 기능을 제공한다. 이러한 기능은 사용자에게 편의성을 제공하지만, 사이버
공격자에 의해 악용될 경우 대규모로 사용자의 로그인 정보가 탈취될 위험이 있다.
KISA 조사 결과에 따르면 구글 크롬, MS 엣지, 모질라 파이어폭스 등 주요
브라우저에서 사용자 정보 탈취가 가능한 것으로 확인됐다. 사용자의 여러 로그인
정보가 브라우저를 사용하는 PC에 저장되므로, PC가 악성코드에 감염될 경우 로그인
정보가 한꺼번에 유출될 수 있다.이때 자동 로그인 기능을 사용할 경우 각별한
주의가 필요하다. 이미 로그인된 계정의 경우 공격자가 더 빠르게 쿠키 및 세션 등
계정정보를 탈취할 수 있기 때문이다.
유출된 정보는 ‘다크웹’에서 사이버 범죄를 목적으로 거래되거나, 해커가 정보를
악용하면 온라인 쇼핑몰, 가상자산 거래소 등에 부정 로그인해 자산을 탈취하는
‘크리덴셜 스터핑’ 공격 등 2차 피해로 이어질 가능성이 높아 사용자들의 각별한
주의가 요구된다.
일례로 지난 2월 국가정보원은 국가·공공기관 정보 서비스 이용자 1만 3,000개
가량의 개인정보가 다크웹에 유출됐다고 밝혔다. 해당 공격은 사용자의 아이디와
비밀번호 등 개인정보를 탈취하는 악성코드인 인포스틸러(Infostealer)를 활용한
것으로 드러났다. 공격자는 각종 콘텐츠 및 파일이 오가는 웹하드, P2P 사이트,
블로그 등에 인포스틸러를 은닉한 불법 소프트웨어를 유통하는 방식으로 악성코드를
퍼트렸다. 인포스틸러를 활용해 사용자의 아이디, 패스워드 등 개인정보를 탈취한
것이다.지난 1월 엔씨소프트 게임 ‘쓰론 앤 리버티(THRONE AND LIBERTY)’에서
크리덴셜 스터핑으로 일부 계정과 게임 머니가 탈취됐고, 2023년 7월
스타벅스코리아에서 부정 로그인 및 충전금 결제 도용 사건이 벌어지기도 했다.
과학기술정보통신부의 침해사고 조사결과 크리덴셜 스터핑 공격 시 로그인 시도 대비
성공률이 약 0.3% 정도로 집계된 바 있다.
기사 전문 보기
분석
- 인포스틸러(Infostealer) -
Information stealer, 정보 유출형 악성코드
운영체제나 프로그램에 저장된 자격 증명과 각종 정보를 훔치는 악성코드다.
일반적으로, 악성코드가 실행되면 자동으로 각종 정보를 수집해 유출하는 형태를 의미한다.
인포스틸러는 공격 빈도 수가 계속해서 늘어나고 있고, 그 종류와 탈취하는 정보도 다양해지고 있다.
안랩이 자사 ASEC블로그를 통해 매주 공개하는 ‘ASEC 주간 악성코드 통계’에서도
인포스틸러는 상당히 오랜 기간 동안 1위를 차지한 바 있다.
사용자가 프로그램의 ‘자동 로그인’ 기능을 사용하면
자격증명 정보는 보통 파일 또는 데이터베이스 형태로 암호화되어 저장된다.
일부 프로그램의 경우 암호화 방식이 아닌 인코딩, 심지어 평문 형태로 저장하기도 한다.
암호화 방식도 비교적 쉽게 깰 수 있는 경우가 많아, 공격자가 탈취하고자 하는 프로그램의
암호 정보 저장 위치와 알고리즘을 알면 자격증명 정보를 탈취할 수 있다.
공격자들의 정보 탈취 방법은 크게
[암호 복구 프로그램 이용, 악성코드 내 정보 유출 기능 포함]
두 가지 형태로 구분할 수 있다.
암호 복구 프로그램은 윈도우나 웹 브라우저 로그인 암호를
잊어버린 사용자들이 이용할 수 있는 프로그램이다.
공격자들은 암호를 알아내기 위해 이 프로그램을 활용하는데,
암호 복구 프로그램을 있는 그대로 사용하는 경우도 있지만,
메모리에서 실행해 사용자가 알 수 없게 하는 경우도 많다.
악성코드 내 정보 유출 기능은 비교적 잘 알려져 있으며,
인터넷 뱅킹 정보 유출 악성코드나 백도어 등의 악성코드 기능으로 포함되어 있기도 하다.
다크크리스탈(DarkCrystal), 폼북(Formbook), 엑스로더(XLoader) 등의 악성코드가
대표적으로 정보 유출 기능을 가지고 있다.
인포스틸러 악성코드의 가장 큰 문제는
공격자가 프로그램에 저장된 자격증명 정보를 모두 훔쳐가기 때문에,
사용자가 사용한 몇 개의 암호를 분석해 다른 사이트의 암호나
앞으로 사용할 암호도 예상할 수 있다.
간단히 말해, 2차 피해를 야기할 가능성이 높은 것이다.
- 크리덴셜 스터핑(Credential Stuffing) -
크리덴셜 스터핑은 유출된 아이디와 비밀번호를
여러 웹 사이트나 애플리케이션에 대입해 로그인되면 개인정보나 자료를 탈취하는 공격 기법이다.
편의성을 이유로 사이트마다 똑같은 아이디와 패스워드를 사용했을 경우 연쇄적인 공격에 노출된다.
공격자는 다크 웹에서 인증정보를 구매하고, 봇을 이용하여 다양한 웹사이트에 접속을 시도한다.
크리덴셜 스터핑은 일반적인 사용자가 단순히 비밀번호를 잘못 입력하는 경우와 구분하기 어려워 탐지하기 매우 어렵다.
대응 & 결론
- 대응 -
이번 주제에서 사용된 공격 방법은 인포스틸러와 크리덴셜 스터핑이다.
공격의 시작 지점부터 그로인해 발생되는 추가적인 공격까지의 대응 방법은 다음과 같다.
우선 각 사용자는 사용 중인 PC에서 자동 로그인 기능을 비활성화하거나 사용을 자제하고,
사용하지 않는 브라우저 프로필을 삭제하여 관리해야 한다.
자동 로그인 정보는 브라우저의 사용자 계정(프로필)과 연동되어 있어 사용자의 계정정보가 PC에 자동으로 저장되고,
브라우저를 사용한 이후에도 지속적으로 남아있기 때문에 계정의 정보가 쉽게 유출될 수 있다.
인포스틸러는 다른 악성코드와 동일하게 메일, 웹 사이트 방문, 프로그램 다운로드 등으로 감염된다.
공격자는 크랙(Crack), 시리얼 키 생성 프로그램(Keyhen), KMS(Key Management System)등에
악성코드를 포함시켜 유포하는 경우가 많다.
특히, KMS는 일반 사용자뿐만 아니라 대기업에서도 사용되고 있어
악성코드 제작자가 유포 방법으로 많이 사용한다
또한 홈페이지별 비밀번호를 각기 다르게 설정하고, 주기적으로 비밀번호를 변경하여
유출된 비밀번호가 크리덴셜 스터핑으로 사용되는 것을 방지해야 한다.
최근 많은 곳에서 사용중인 MFA를 통해 2차 인증으로 보안성을 강화하는 것도 한가지 방법이다.
해외에서 로그인을 시도했다는 알림을 받거나,
여러 웹사이트에서 유출된 아이디와 비밀번호로 계속해서 피해가 발생하는 경우
계정정보의 유출을 의심해 볼 수 있다.
자신의 계정이 유출되었거나 의심이 된다면
개인정보보호의원회와 KISA에서 운영하는
‘털린 내 정보 찾기 서비스’를 통해 확인이 가능하다.
- 결론 -
해당 위협은 브라우저에 자동 로그인으로 저장되어 있는 계정이 인포스틸러로 인해 탈취되고,
탈취된 정보가 다크 웹을 통해 판매되어 최종적으로는 크리덴셜 스터핑으로 인해
연쇄적인 공격에 노출되는 결과를 만들어낸다.
자동 로그인은 사용자의 편의성을 위해 제공되는 기능이지만
그와 동시에 공격자에게도 공격에 대한 편의성을 제공하게 된다.
또한 한가지의 비밀번호를 여러 사이트에서 동일하게 사용하는 것은
편리하지만 연쇄적인 피해에 쉽게 노출이 된다.
디지털과 기술의 발전으로 우리의 삶은 더욱 더 편리해지고 있다.
간단한 조작을 통해 결제가 되고 각종 공문서들도 디지털 기기를 통해 손쉽게 발급을 받을 수가 있다.
이러한 편리함은 사용자뿐만 아니라 공격자에게도 같은 영향을 주고 있다.
빠른 접속을 위해 저장해둔 정보가 공격자의 공격시간을 단축시켜주었고,
기억하기 쉽게 통일시킨 비밀번호는 도미노처럼 공격으로 인한 피해를 확산시키는 영향을 가져오게 되었다.
누구나 개인 정보 유출의 피해자가 될 수 있다.
실제로 21세기 이후 대한민국에서는 수많은 개인정보 유출사고가 발생하였고,
우리의 개인정보는 공공정보와 구별이 어려운 상황이 되었다.
그렇기에 많은 기업과 정보보호를 위한 전문가들은 개인정보의 보호를 위해 많은 노력을 기울이고 있다.
하지만 기술의 발전은 빠르고 이 모든 것을 완벽하게 방어하는 것은 어려운 일이다.
개인정보의 유출 피해자가 되지 않으려면
다소 번거롭더라도 철저한 관리를 통해 피해를 예방하는 것이 가장 중요하다.
오늘 이 글에서 다루어진 위협은 모두 충분히 대처할 수 있는 문제이다.
기본적인 보안 수칙을 지키고 철저하게 관리를 하여 피해를 예방한다면
편의성과 함께 우리의 소중한 정보를 지키는 길이 될 수 있을 것이다.
참고:
https://www.boannews.com/media/view.asp?idx=127565&page=1&kind=1
https://www.boannews.com/media/view.asp?idx=127561&page=1&kind=1
https://www.boannews.com/media/view.asp?idx=127372
https://www.ahnlab.com/ko/contents/content-center/32320
https://www.fis.kr/ko/major_biz/cyber_safety_oper/attack_info/security_news?articleSeq=2403
https://www.akamai.com/ko/glossary/what-is-credential-stuffing
'보안 동향' 카테고리의 다른 글
| 리눅스 공격에 사용되는 노드 RAT 악성코드 (0) | 2024.03.08 |
|---|
