‘크리덴셜스터핑’ 피해사례 분석을 통한 기업 대응방안

기존 해커들의 해킹수법은 타겟 회사의 취약점을 이용하여 백도어를 심고 원하는 정보를 탈취하는 것이었다. 각 기업에서는 이를 예방하기 위해 방화벽과 같은 보안장비를 설치하고, 보안패치를 통해 취약점을 없애고, 악성코드 활동을 차단하는 등의 다중 보안체계를 구축해 왔다. 최근 이런 방어체계를 무색하게 만드는 해킹수법이 있으니 그것이 바로 ‘크리덴셜 스터핑’이다.

'크리덴셜 스터핑'은 다크웹으로부터 얻은 로그인 정보를 그래로 대입해 보는 공격 방식이다. 대부분의 사람들은 인터넷을 쓸 때 로그인 정보(아이디와 암호)를 동일하게 사용하는 취약점을 이용하여 공격한다. 특정 타겟의 취약점을 스캔하고, 백도어를 설치할 필요 없고, 인터넷에서 로그인 기능이 있는 사이트는 모두 대상이기에 공격의 점점 늘어가고 있다. 이제 종종 들려오는 옆집의 보안사고 소식이 우리 집 일 수 있는 것이다.

크리덴셜 스터핑 공격으로 피해를 입은 대표적인 회사의 사례를 분석해 보고 대응방안을 세워보도록 하자

1. 인크루트 (20년 9월)

- 피해내용 : 개인정보 유출 (3만 5천 건)

- 위반사항 : 보호법 제29조, 시행령 제48조의2 제1항, 고시 제4조 제5항 및 제9항 위반 (과징금 7천, 과태료 360만)

- 원인 : 침입 탐지 및 차단 정책 운영을 소홀히 하였고, 휴면계정 해제 시 추가인증 요구 없이 아이디(ID), 비밀번호만으로 해제가 가능하도록 설정하는 등 접근통제 조치를 소홀히 함

2. 인터파크 (23년 1월)

- 피해내용 : 개인정보 유출 (78만 4920건)

- 위반사항 : 보호법 제29조및같은 법 시행령 제48조의2 제1항 제2호 위반 (과징금 10억 과태료 360만)

- 원인 : 동일한 아이피(IP) 주소에서 대규모로 접속(로그인)을 시도하는 경우와 같이 비정상적인 접속(로그인) 시도에 대응할 수 있는 차단 미적용 (웹은 1분간 동일 IP에서 100회 이상 접속 시 차단했지만, 모바일은 미적용)

3. 한국고용정보원 (23년 7월)

- 피해내용 : 개인정보 유출 (23만 건)

- 원인 : 중국 등 해외 인터넷 접속 주소(IP) 28개에서 크리덴셜 스터핑 공격

크리덴셜 스터핑 공격으로 개인정보 유출 사건이 있었던 인크루트와 인터파크의 개인정보보호위원회 처분결과가 올해 6월과 7월에 있었다. 관련 매출액의 3% 규제에 따라 인크루트는 7천만 원, 인터파크는 10억의 과징금을 받았다. 두기업은 동일하게 개인정보보호법 제29조, 시행령 48조의2, 고시 제4조를 위반했다.

안전성 확보조치 고시 4조 5항 내용을 살펴보자

정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치․운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출시도를 탐지

 

고시 5항 1호의 인가받지 않는 접근을 제한은 방화벽, IPS 등의 보안장비를 구축하여 접근을 통제하는 것을 의미하고, 2호의 IP주소를 재분석하여 불법적인 개인정보 유출시도 탐지는 보안관제를 통한 보안모니터링을 의미한다. 즉 단순 보안장비만 구축 운영하는 것이 그치지 않고 해킹시도에 대한 모니터링을 꾸준히 해야 하는 것이다. 특히 크리덴셜 스터핑 공격의 특성을 파악하고 공격 시 알람이 울리도록 모니터링 정책을 마련해야 한다.  

4. 지마켓 (23년 1월)

- 피해내용 : 상품권 핀번호 도용

- 원인 : 크리덴션 스터핑 공격을 통해 고객이 구매한 상품권 핀번호 도용

5. 스타벅스 (23년 7월)

- 피해내용 : 스타벅스 카드 충전금 도용 (800여만 원, 90여 명)

- 원인 : 중국 등 해외 인터넷 접속 주소(IP)에서 크리덴셜 스터핑 공격

올해 크리덴셜 스터핑의 공격을 받은 지마켓과 스타벅스는 개인정보 유출이 아닌 금전적인 피해를 입었다. 지마켓은 사고 발생 후 구매한 상품권의 핀번호 조회 시 2차 인증을 적용했다. 스타벅스도 마찬가지로 2차 인증을 준비 중이다.

국내 사고사례를 바탕으로 각 기업에서 대비할 부분은 사전대응과 사후대응으로 나누어 볼 수 있다.

사전대응은 크리덴셜 스터핑 취약점을 제거하여 위험을 제거하는 방법으로 ID, 비밀번호 외 추가 인증을 적용하는 방식이다. 추가인증은 주로 금융권에서 많이 사용하는 SMS 인증, 생체인증 등 다양한 방법이 있다. 서비스환경에 따라 매번 추가인증을 적용하기 부담이 된다면, 현재 로그인방식은 유지하고 개인정보 노출 페이지(마이페이지 등)와 금전 사용이 가능한 페이지 접근 시 추가인증을 적용하는 것도 생각해 볼 수 있다. 이경우 주문정보, 배송지정보 등의 화면에서도 개인정보 노출이 가능한데 이 부분도 추가인증을 적용하거나 개인정보 마스킹을 통해 개인정보를 비식별조치 하는 방법도 적용이 가능하다.

사후대응은 사전대응 없이 사후대응만으로는 법적제재를 피하기 어렵기 때문에 사전대응을 적용하고 부족한 부분을 사후대응으로 보완하는 것으로 봐야 한다. 우선 방화벽, 웹방화벽을 로그를 분석하고 모니터링을 하여 이상접근에 대한 차단조치 체계를 구축해야 한다. 흔히 통합보안관제 시스템에서 보안시스템의 로그를 분석하고 보안관제 인력들이 실시간 모니터링하여 대응하게 된다. 여기서 중요한 부분은 모니터링의 내부기준이 객관적으로 명확해야 한다는 점이다. 예를 들면 ’1분간 동일 IP에서 100번 이상 접근 시 IP차단‘ 여기서 임계치에 해당하는 ‘100번 이상’은 서비스상황에 맞게 적용해야 한다. 또한 해외 IP는 임계치를 10번 이상으로 적용하여 좀 더 타이트한 기준을 적용할 수 있다.

정리해 보면 크리덴셜스터핑 공격은 인터넷사이트를 운영하는 대부분의 기업들은 언제든지 피해를 받을 수 있고, 적절한 대응을 하지 않으면 관련 매출액의 3%를 과징금으로 내야 할 수 있다. ID와 비밀번호 로그인 방식은 더 이상 안전하지 않은 인증방식으로 봐야 한다. 로그인 시 추가인증을 적용하거나, 중요페이지(개인정보, 금전) 접근 시 추가인증을 적용하는 사전대응과 사이트 이상접속에 대한 모니터링 기준을 적절히 수립하고 실시간 대응하는 사후대응을 적절히 적용하여 보안 리스크를 대비하길 바란다.