지난 7월 4일, 오바마케어라는 이름을 이용하는 사용자가 약 100억 개의 고유 비밀번호가 포함된 사상 최대 규모의 비밀번호 모음집을 유출했다.
사이버뉴스의 연구원들은 유명 해킹 포럼에서 락유2024.txt라는 제목의 유출을 발견했다. 이 데이터 세트에는 비교적 최근인 2021년과 2024년에 발생한 해킹 사건까지 포함하여 지난 20년간 발생한 수많은 해킹에서 수집한 9,948,575,739개의 고유한 일반 텍스트 비밀번호가 포함되어 있다.
이 데이터 세트에는 비밀번호 외에도 관련 이메일 주소, 사용자 이름 및 기타 개인 정보도 포함되어 있다.
연구진에 따르면 “위협적인 공격자는 무차별 암호 대입 공격을 수행하고 데이터 세트에 포함된 비밀번호를 사용하는 개인이 사용하는 다양한 온라인 계정에 무단으로 접근하기 위해 락유2024 비밀번호 컴파일을 악용할 수 있다.”라고 한다.
락유2024 유출 사건은 현재 진행 중인 사이버 범죄와의 전쟁에서 중요한 사건이다. 이 유출로 인해 수많은 인증 정보가 노출되어 비밀번호 기반 보안 시스템의 지속적인 취약성이 조명받았다.
이번 유출로 인해 암호화되거나 해시 비밀번호가 아닌 일반 텍스트 비밀번호가 노출되었기 때문에 기술력이 부족한 해커도 이러한 비밀번호에 쉽게 접근하여 악용할 수 있으며, 크리덴셜 스터핑 혹은 비밀번호 스터핑을 비롯한 다양한 유형의 사이버공격에 사용할 수 있다. 크리덴셜 스터핑은 무차별 대입 공격의 하위 집합이다.
락유2024와 크리덴셜 스터핑
연구원들은 “본질적으로 락유2024 유출은 전 세계 개인이 사용하는 실제 비밀번호의 모음이다.”라고 말한다. “위협적인 공격자들에게 비밀번호가 많다는 사실은 크리덴셜 스터핑 공격의 위험성을 크게 높인다.”
보안 컨설팅 회사 엔씨씨 그룹(NCC Group) 내 전략 위협 인텔리전스의 글로벌 책임자 매트 헐(Matt Hull)은 테코피디아에 다음과 같이 말했다:
“이런 유형의 해킹은 비교적 빈번하게 발생하기 때문에 놀라운 일이 아니다.”
“수집한 데이터가 사기와 같은 범죄 행위에 사용될 가능성이 있다.”
디지털 자산을 보호하고자 하는 개인과 조직은 특히 크리덴셜 스터핑과 관련하여 이러한 데이터 유출의 의미를 이해하는 것이 중요하다.
크리덴셜 스터핑은 해커가 데이터 유출로 인해 탈취한 사용자 인증 정보를 사용하여 다른 시스템에서 해당 인증 정보를 사용하려는 사이버공격의 한 유형이다. 따라서 이러한 유출은 여러 사이트와 서비스에서 비밀번호를 재사용하는 사용자에게 심각한 위험을 초래할 수 있다.
헐(Hull)은 사람들이 여러 온라인 계정이나 웹사이트에서 동일한 비밀번호를 재사용하는 경우, 그 중 하나가 유출되면 다른 모든 계정이 취약해질 수 있다고 말한다.
“악의적인 공격자는 이와 같은 데이터 세트를 사용하여 비밀번호 스터핑 공격을 수행하여 표적 환경에 접근한다.”라고 그는 말한다.
“데이터 세트의 사용자 크리덴셜이 기업 계정에 해당한다면 기업의 IT 자산에 불법적으로 접근하는 데 사용될 수 있다.”
헐(Hull)은 인증정보가 노출되었는지 확인하려면 유출 알림 서비스(Have I Been Pwned?)를 확인하라고 조언한다.
예를 들어, 애플의 기기나 구글 크롬과 같은 브라우저에는 비밀번호가 유출되었는지 알려주는 유사한 기능이 있다고 엔씨씨 그룹 내 디지털 포렌식 및 사고 대응의 글로벌 책임자인 알레한드로 리바스 바스케스(Alejandro Rivas Vasquez)는 말한다.
“크리덴셜이 노출된 경우 비밀번호를 변경해야 한다. 또한 모든 온라인 계정에 다른 비밀번호를 사용해야 한다. 비밀번호 관리자의 도움을 받을 수 있다.”라고 헐(Hull)은 말한다.
“그리고 가능하면 다단계 인증을 구현하여 온라인 계정에 보안을 한층 더 강화해야 한다.”
락유2021 유출 사건 파헤치기
락유2024 유출의 결과를 완전히 이해하기 위해 이번 유출이 이전의 주요 사건 락유2021 비밀번호 모음 유출과 다른 점이 무엇인지 살펴보자.
락유2021 비밀번호 모음은 약 84억 개의 비밀번호가 노출된 대규모 보안 유출 사고였다. 락유2021은 수년에 걸쳐 발생한 다양한 유출 사고를 하나의 방대한 검색 가능한 데이터베이스로 모은 것이다. 따라서 해커가 사람들이 재사용한 비밀번호를 찾아서 사용하기가 훨씬 쉬웠다.
락유2021도 규모가 엄청났지만, 락유2024 는 유출된 인증정보의 양이 훨씬 더 많고 크리덴셜에 더 즉각적인 영향을 미쳤다. 락유2021은 오래된 유출 사고에서 가져온 반면, 락유2024는 최신 데이터를 포함하고 있어 훨씬 더 시급한 위협이 되고 있다.
락유2021 유출 사건으로 인한 경고와 경각심에도 불구하고 사람들은 비밀번호 습관을 개선하지 않고 있다. 비밀번호 재사용은 여전히 큰 문제이며, 이는 락유2024 유출의 영향을 더욱 악화시키고 있다.
락유2024 유출 사건의 의의
락유2024 유출은 중요한 의미를 담고 있다. 우선, 공격 표면이 크게 증가했다.
너무 많은 인증정보가 노출되면서 비밀번호 스터핑 공격의 잠재적 표적이 급증했다. 유출된 각 계정은 해커가 악의적인 활동을 수행하기 위한 접근 포인트 역할을 할 수 있다.
또한 기업에 미치는 경제적 영향도 상당하다. 기업은 사기 거래로 인한 즉각적인 금전적 손실은 물론, 평판 손상 및 고객 신뢰 회복과 관련된 장기적인 비용도 부담해야 하기 때문이다.
개인에게도 유출된 개인 정보는 신원 도용, 금융 사기, 민감한 데이터에 대한 접근으로 이어질 수 있기 때문에 이러한 정보 침해는 중요하다.
이러한 공격을 받은 기업은 일반적으로 다운타임 및 생산성 손실과 같은 운영 중단을 겪게 된다. 또한 사고 대응 및 복구 작업을 처리하기 위해 직원들이 본연의 업무에서 벗어나 다른 업무로 전환해야 할 가능성이 높다.
마지막으로, 사용자 데이터를 보호하지 않는 기업은 법적 및 규제적 결과에 직면하게 된다. 특히 유럽의 일반정보보호 규정과 같이 엄격한 데이터 보호법이 적용되는 지역에서는 벌금, 과태료, 규제 기관의 감시 강화에 직면할 수 있다.
완화 전략
비밀번호를 재사용하지 않는 것 외에도 다음과 같이 조직에서 데이터를 보호하기 위해 할 수 있는 다른 방법들이 있다:
다단계 인증(MFA: Multi-Factor Authentication) 도입: MFA는 보안을 한층 더 강화하여 공격자가 로그인 정보를 알아내더라도 침입하기가 훨씬 더 어려워진다. MFA에는 SMS 인증, 인증 앱 또는 하드웨어 토큰 등이 포함될 수 있다.
직원들에게 비밀번호 보안에 대해 교육: 각 계정에 대해 강력하고 고유한 비밀번호를 만드는 것이 왜 중요한지 직원들에게 교육하는 것이 중요한다. 비밀번호 관리자는 복잡한 비밀번호를 생성하고 저장하여 사람들이 어디서나 같은 비밀번호를 재사용하는 것에 대해 걱정할 필요가 없도록 함으로써 이 작업을 더 쉽게 수행할 수 있다.
모니터링 및 탐지: 고급 모니터링 도구를 사용하여 비정상적인 로그인 활동을 발견하면 비밀번호 스터핑 공격이 발생했을 때 이를 포착하고 차단하는 데 도움이 될 수 있다. 예를 들어, 다수의 위치에서 로그인 시도가 여러 번 실패하면 즉시 보안 조치를 취해야 한다.
정기적인 보안 감사: 보안 감사 및 취약성 평가를 정기적으로 실시하는 것은 조직의 보안 프레임워크에서 잠재적인 취약점을 파악하고 해결하는 데 매우 중요하다. 이러한 사전 예방적 접근 방식은 해킹을 예방하고 공격의 영향을 줄이는 데 도움이 된다.
캡차(CAPTCHA) 사용: 로그인 프로세스에 캡차를 추가하면 사람의 확인을 요구하여 자동화된 시도를 차단할 수 있다. 완벽하지는 않지만 캡차는 자동화된 비밀번호 입력 도구의 효과를 크게 줄일 수 있다.
제로트러스트 아키텍처 도입: 모든 사람이 네트워크 리소스에 대한 접근을 인증해야 하는 제로트러스트 보안 모델로 전환하면 무단 침입의 위험을 크게 줄일 수 있다. 이 접근 방식은 모든 접속 시도가 확인될 때까지 위협이 될 수 있다고 가정한다.
IP 블랙리스트 및 속도 제한: 기업은 IP 블랙리스트 및 속도 제한을 사용하여 자동화된 비밀번호 스터핑 공격을 차단할 수 있다. 의심스러운 행동을 보이거나 지정된 로그인 시도 횟수를 초과하는 IP 주소를 식별하고 차단함으로써 기업은 공격 성공 가능성을 줄일 수 있다.
행동 생체인식: 행동 생체 인식을 구현하면 입력 속도, 마우스 움직임과 같은 사용자 행동 패턴을 분석하여 보안을 강화할 수 있다. 정상적인 행동에 변화가 있는 경우 시스템이 추가 인증 단계를 작동하여 해커가 올바른 크리덴셜을 가지고 있어도 공격에 성공하기 어렵게 만든다.
비밀번호 없는 인증 사용: 생체인식(지문 또는 안면 인식) 및 하드웨어 보안 키와 같은 비밀번호 없는 인증 방법을 채택하면 비밀번호 재사용 및 비밀번호 스터핑 공격과 관련된 위험을 제거할 수 있다.
결론
락유2024 유출 사건은 비밀번호 기반 인증 시스템이 얼마나 취약할 수 있는지를 보여주는 명백한 사례이며, 항상 사용자의 안전을 최우선으로 생각한다는 원칙을 고수해야 한다.
100억 개의 비밀번호를 한 곳에 모아두면 공격자가 쉽게 시도할 수 있으며, 당신의 디지털 위생 상태가 좋지 않다면 매트 아래에 열쇠를 두는 것과 같이 아무나 들어올 수 있다.