자동화 도구 이용한 계정탈취 성행…AI 기술로 차단해야
[데이터넷] 계정과 접근권한은 최근 공격자들이 가장 많이 사용하는 침투 기법이다. 정상 계정과 권한을 이용하기 때문에 보안 시스템을 쉽게 우회할 수 있으며, 타깃 맞춤형 악성코드보다 빠르고 쉽게 공격할 수 있다는 장점이 있다. 이에 제로 트러스트 원칙의 보안 기술과 정책이 필수로 요구된다. 비즈니스를 방해하지 않고 사용자 편의성을 해치지 않으면서 계정과 접근권한을 보호하는 방법을 알아본다.<편집자>
매우 흔하게 등장하는 계정탈취 공격은 포털 사이트 로그인 화면을 위장해 ID/PW를 훔치는 것이다. ID/PW 보안 취약성을 해결하기 위해 많은 온라인 서비스는 중요 데이터에 접근하거나 거래를 시도할 때 추가 인증을 요구한다. 그래서 ID/PW만으로는 해커가 원하는 공격 행위를 할 수 없다. 그런데 해커는 여러 서비스에서 훔친 수집해 결합시켜 공격에 이용할 수 있는 정보를 확보한다. ID/PW 탈취만으로는 위협이 되지 않는다는 안이한 생각은 버려야 한다는 뜻이다.
특히 추가인증에 대한 맹신은 빨리 벗어나야한다. 많은 공격자들이 MFA를 너무나 쉽게 우회하기 때문이다. 관리팀 혹은 콜센터에 전화 혹은 온라인으로 MFA 시 사용하는 인증매체를 잃어버렸다며 MFA 설정을 초기화하고 다시 등록할 것을 요청하는 방법으로 랩서스 등 악명높은 해커들이 공격을 성공시켰다.
공격자는 MFA 설정 초기화 시 본인 여부를 확인하기 위해 묻는 질문을 여러 방법으로 획득한다. 예를 들면 도용당한 직원의 사원번호, 동료의 이름, 직책, 업무, 입사일, 생년월일 등을 SNS를 통해 수집한다. 지인을 이용하기도 하고 피싱 공격으로 알아내기도 하며, 다크웹에서 구입하기도 한다. 이 정보로 관리팀에게 연락해 MFA를 초기화하고 공격자가 가진 인증매체를 등록해 쉽게 중요 업무에 접속한다.
마이크로소프트 휴면계정을 이용하는 방법도 있다. 솔라윈즈 공급망 공격 그룹 APT29의 경우, 휴면계정을 이용해 MFA를 자체 등록해 피해 기업의 인프라에 접근한 것으로 보인다. 맨디언트 조사에 따르면 조직에서 처음 MFA를 시행할 때 첫 번째 MFA 장치를 등록할 수 있는데, MFA를 등록하지 않은 사용자 이름과 암호를 알고 있으면 모 든 위치와 장치에서 계정에 액세스 해 MFA를 등록할 수 있다.
우버 해커의 경우, 의도적으로 로그인 실패를 반복한 후 기술부서를 사칭해 인증을 허락해달라고 요청해 이중인증을 피했는데, 이 방식은 현재 많은 기업이 당하고 있는 피해다.
자동화 도구 이용해 개인정보 탈취
공격자들은 여러 소스에서 공격에 활용할 수 있는 정보를 부지런히 수집한다. 그 한 예가 크리덴셜 스터핑이다. 자동화된 도구를 이용해 온라인 마켓플레이스, 소셜 미디어 플랫폼에서 계정정보를 수집하고, 미리 입수한 정보와 결합시켜 필요한 서비스에 로그인하며 성공했을 경우 추가 정보를 입수한다. 크리덴셜 스터핑은 피싱 메일이나 별도의 해킹 도구 없이 저렴한 자동화 봇을 이용해 공격할 수 있기 때문에 해커의 진입장벽이 낮다.
크리덴셜 스터핑은 공격이 쉽고 수집되는 정보의 가치가 높기 때문에 계속 증가하는 추세다. 헬프넷시큐리티는 2020년 전 세계 1930억번의 크리덴셜 스터핑 공격이 감지됐으며, 금융서비스는 34억번의 공격을 받았는데 이는 전년대비 45% 증가한 수치였다. 범죄자들이 공격에 이용하는 계정을 입수하는 방법의 30%는 크리덴셜 스터핑이었다.
크리덴셜 스터핑의 대표적인 피해 사례가 2017년 이스트소프트의 개인정보 유출 사고다. 지난해 에는 뮤직스트리밍 플랫폼이 공격을 받아 10만개의 사용자 정보가 공개됐고, FBI는 다른 회사에서 유출한 정보를 여러 웹페이지에 적용해 사용자 포인트를 훔치고, 개인정보 탈취와 금융사기에 사용한 범죄 사례를 공개하기도 했다.
무작위 대입으로 6초 만에 신용카드 정보 알아내
무작위 대입 기법도 계정 탈취에 ‘유용하게’ 사용된다. 대부분의 온라인 서비스는 몇 차례 로그인 시도에 실패하면 일정 시간 동안 로그인 시도를 차단하고, 해당 내용을 사용자에게 문자나 메일로 알린다. 그러나 자동화 봇을 이용하는 크리덴셜 스터핑이나 무작위 공격은 단 몇 초동안 수십번 로그인 시도를 한다. 시스템이 잘못된 로그인 시도를 감지하고 경고하기 전에 로그인에 성공할 수 있다.
노드VPN은 무작위 대입 기법으로 사용자 결제 카드를 해킹하는데 6초면 충분하다고 밝혔다. 카드 번 호의 처음 6~8자리는 카드 발급 기관의 ID 번호이고, 16번째 숫자는 체크섬이며 앞의 다른 숫자들을 입력할 때 실수가 있었는지 여부를 판단하는데 사용된다. 따라서 해커가 추측해야 하는 나머지 숫자는 실제로 7~9개 정도 밖에 되지 않는다.
9자리 숫자를 추측하려면 10억개의 숫자 조합을 찾아야 하는데, 일반 컴퓨터는 1분이면 카드 번호를 찾을 수 있다. 어떤 카드는 7개의 숫자만 추측하면 되는데, 이 경우 카드 정보를 알아내는데 6초면 충분하다. 고성능 컴퓨터를 사용하면 시간은 더 단축된다.
AI 기술로 자동화 봇 차단
자동화 봇 이용 공격을 막기 위해 다양한 캡챠를 적용하는데, 캡챠 역시 AI 봇에 쉽게 무력화된다. 최근 봇은 봇 탐지 솔루션이 사용하는 핑거프린팅, 행위분석 기법을 우회한다. 그래서 최근 봇 방어 솔루션들이 사람처럼 행동하는 봇을 막을 수 있는 지능형 기술을 적용하고 있다.
F5의 경우, 2019년 인수한 세이프 시큐리티의 AI 기반 행위분석 기술을 이용해 사용자 환경과 행동을 분석 하고 봇 여부를 판단한다. 접속을 요청하는 디바이스 가 사람과 같은 마우스 움직임, 키보드 타이핑, 오타 등이 발생하는지 확인하며, 이 정보를 수집하는 특별 한 자바 스크립트 기술을 보유하고 있다.
이 솔루션은 국내 한 골프장 예약 시스템에 적용돼 정상 사용자만이 예약할 수 있게 해 고객 편의를 높였 다. F5는 SaaS로 제공되는 ‘분산 클라우드 봇 방어’ 서비스도 제공해 인프라 구축 없이, 어느 위치에서나 지능형 봇 방어가 가능하도록 했다.
라드웨어의 봇 방어 솔루션도 탁월한 탐지력을 보인다. 라드웨어는 지도학습·비지도학습 머신러닝을 결합 한 세미 수퍼바이저 머신러닝을 이용해 악성봇 탐지의 오·미탐을 제거한다. 악성 봇 행위분석과 악성봇 데이터를 결합한 봇 방어 솔루션은 크리덴셜 스터핑 등 자동화된 계정탈취 시도를 막을 뿐 아니라 API 침해, 웹 해킹 등 다양한 공격을 막을 수 있다.
