크리덴셜 스터핑, 현존하는 IT 인프라의 허술한 점 치고 들어와
다중 인증 도입하고 계정 연결 전담 팀 두면 크리덴셜 스터핑 방어 가능

[보안뉴스 문가용 기자] 넷플릭스의 라이벌로 디즈니 플러스(Disney+)가 등장했지만 크리덴셜 스터핑이라는 사이버 공격 때문에 영 입장이 난처하게 됐다. 디즈니 플러스만의 문제는 아니지만, 승승장구하는 넷플릭스를 견제하러 나와서는 그 흔한 크리덴셜 스터핑의 제물이 되고 있다는 것이 디즈니라는 이름을 무안하게 만들고 있는 것이다.


크리덴셜 스터핑 공격은 쉽게 탐지되지 않는다. 공격이 고급스러워서가 아니라, 현대 IT 인프라와 사용자들의 허술한 부분을 교묘하게 노리고 있기 때문이다. 디즈니 플러스는 서비스를 시작할 때 이 점을 간과했고, 디즈니라는 이름에 혹한 수많은 사용자들의 개인정보와 민감 정보가 공격자들 손에 넘어가도록 만들었다. 서비스가 개설되고 불과 수 시간이 지난 시점에 말이다.

도대체 디즈니 플러스에 무슨 일이 일어났던 걸까? 왜 크리덴셜 스터핑의 인기가 공격자들 사이에서 올라가고 있는 걸까? 필자는 그 부분을 이 글에서 상세히 풀어보고자 한다.

디즈니 플러스, 어떻게 공격당했나?
크리덴셜 스터핑 공격은 그리 어려운 개념의 공격법이 아니다. 이미 과거에 수없이 많이 발생한 정보 유출 사고로부터 획득한 다량의 크리덴셜을 가지고 있는 범죄자들에게는 더더욱 그렇다. 참고로 현재까지 유출된 기록은 80억 건이 넘는 것으로 알려져 있다. 이런 풍부한 자원을 가진 공격자들이 다양한 온라인 서비스에 하나하나 대입해보는 것으로 크리덴셜 공격은 끝이다. 물론 여기에 자동화 도구가 사용되긴 하지만, 로그인이 필요한 모든 서비스에 자기가 이미 가지고 있는 로그인 정보를 대입하는 것이 공격의 골자라는 것이다.

이 단순한 공격이 현대 IT 인프라에 위협적으로 다가오는 건 사용자들이 비밀번호를 여러 서비스에 걸쳐 재사용하기 때문이다. 지메일에 쓴 크리덴셜을 네이버에도 쓰고, 회사 원격 관리 계정에도 쓰고, 카카오톡 로그인에도 쓰고, 은행에도 쓰고... 그러니 수억 건에 달하는 크리덴셜을 세상에 존재하는 수만 가지 서비스에 대입하면 반드시 로그인에 성공할 수밖에 없다. 실제 크리덴셜 스터핑의 공격 실패율은 매우 낮은 것으로 알려져 있다. 심지어 이 공격의 재료가 되는 크리덴셜 정보는 다크웹에서 고작 3달러 정도에 판매된다.

디즈니 플러스가 개설되고 일어난 일 역시 그리 복잡하지 않다. 공격자들은 이미 보유하고 있던 로그인 정보를 디즈니 플러스라는 새 플랫폼에 대입했을 뿐이다. 역시나 사용자들은 자기들이 다른 플랫폼에서 사용하던 크리덴셜을 디즈니 플러스에서도 똑같이 사용했고, 공격자들은 로그인에 성공했다. 그런 후 계정과 연계되어 있던 각종 개인정보에도 도달할 수 있었다. 사이버 공간에서 흔히 일어나는 그런 평범한 사건이 일어났던 것이다.

다만 디즈니 플러스는 엄청난 기대를 모았던 서비스고, 개설되자마자 수많은 사람들이 가입을 서둘렀다. 하루 만에 1천만 명이 가입했다는 소식이 나올 정도였다. 공격자들의 ‘평범한’ 성공은 디즈니 플러스라는 플랫폼이었기 때문에 폭발력 있는 성공으로 변했다. 다행스러운 건 디즈니 플러스에서 발생한 일을 막을 방법이 존재한다는 것이다. 이를 소개하면 다음과 같다.

디즈니 플러스가 했어야 했던 것, 다중 인증
오늘 날 발생하는 여러 가지 사이버 공격의 양만을 생각하면, 다중 인증을 도입하는 조직의 수가 적어도 너무 적다. 이해하기 힘든 현상이다. 다중 인증은 사용자가 로그인을 할 때 비밀번호와 같은 걸 여러 개 제출하도록 요구하는 시스템이다. 단순 확률 계산만 해봐도 크리덴셜 스터핑 공격이 들어맞을 확률이 불가능에 가까울 정도로 떨어진다는 걸 알 수 있다. 크리덴셜 스터핑 공격만을 생각했을 때 다중 인증은 완벽에 가까운 대책이다.

계정과 계정을 연결할 때도 안전하게
디즈니와 같은 회사들은 하위 브랜드를 여럿 보유하고 있다. 이는 소비자들에게 편리함을 제공한다. 디즈니라는 모기업에 가입되어 있으면, 디즈니가 운영하는 수많은 사이트들에 자동으로 로그인할 수 있게 되는 식으로 말이다. 이렇게 쉽고 간편하게 서비스와 서비스가, 계정과 계정이 연결되는 사례는 사이버 공간에 무수히 많은데, 이는 대단히 위험할 수 있는 매커니즘이다.

지속적이고 일관적인 브랜드 경험을 창출하고 싶다면, 이렇게 쉽고 간편한 연결 방식을 제공하는 만큼 안전하고 탄탄한 신원 관리 시스템도 도입해야 한다. 이는 생각보다 까다롭고 복잡한 것으로, 여러 하위 사이트들의 로그인 시스템과 고객의 신원을 전담으로 관리하는 전문가와 팀을 두어야 한다. 크리덴셜 스터핑으로 로그인을 하는 것이 고객인지 아닌지를 꾸준히 확인할 체제가 갖춰져야 한다는 뜻이다.

비정상 행위 탐지하기
위 두 가지 조치는 크리덴셜 스터핑 공격을 막기에 충분하다. 그러나 크리덴셜 스터핑 공격이 아니더라도 계정을 탈취할 방법들은 여럿 존재한다. 또한 그러한 방법들은 앞으로도 여러 가지로 개발될 것이다. 그러므로 ‘비정상 행위’를 탐지하는 능력을 기르는 게 중요하다. 아무리 눈속임을 하고 침투에 성공한다 하더라도, 결국 어느 순간에는 잘못된 행위, 즉 비정상 행위가 자행되어야만 공격자들의 의도가 구현되기 때문이다. 그 어떤 범죄자도 그냥 재미로 로그인 한 번 해보고 로그아웃 하지는 않는다. 그러려면 정상 행위에 대한 정의가 먼저 내려져야 한다. 그래야 비정상 행위를 재빨리 알아챌 수 있다.

앞으로도 수많은 온라인 서비스가 생겨날 것이다. 우리들은 앞으로도 수년 간은 로그인이라는 행위를 하며 서비스를 이용할 것이다. 그 동안 우리가 해왔던 비밀번호 입력 방식은 이제 낡은 것이 되었다. 새로운 시대에 맞는 새로운 로그인 시스템과 습관이 필요하다.

글 : 마티아스 월로스키(Matias Woloski), Auth0
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>