[데이터넷] ID 플랫폼(IDP) 서비스 기업이 해킹을 당하면서 ID 보호에 비상이 켜졌다. IDP 서비스 사업자의 고객 정보가 모두 해커의 손에 넘어갔을 가능성이 제기되고 있다. 이 회사의 고객인 미국 MGM 리조트와 시저스 엔터테인먼트가 랜섬웨어 공격을 당해 수천만달러의 손해를 입었는데, 공격자는 사회공학기법을 이용해 직원 ID를 훔치고 헬프데스크 직원을 속여 침투한 것으로 알려진다.

프루프포인트의 ‘CISO가 직면하게 될 보안 과제 다섯가지’ 보고서에서는 “방어자가 명심해야 하는 것은 ‘ID는 새로운 취약성’이다. 저장된 자격증명 정보, 세션 쿠키, 액세스 키 등의 정보를 보호하고, IDP, 권한계정을 보호해야 한다”고 지적했다.

본인인증과 권한확인 위해 사용하는 ID

아이덴티티(ID)는 사람 혹은 사물의 신분, 속성, 권한 등을 통칭하는 용어로, 온·오프라인 서비스 접근과 구입, 디지털 플랫폼에서 다른 사람·사물과의 상호작용을 위해 사용된다. 온라인 서비스 접근을 위해 ID와 함께 자신을 입증하는 인증 과정을 거쳐야 하며, 비밀번호 혹은 인증서를 이용한다.

비밀번호는 길고 복잡한 문자·숫자로 구성된 조합을 사용자가 직접 입력해 자기 자신임을 입증하는 방법을 주로 사용해왔지만, 그 방식의 보안 취약성으로 인해 생체인증, 패스키 등 간단하지만 강력한 인증방식으로 바꾸고 있다.

인증서는 사람·사물 본인임을 확인하는 증명서를 의미하며, 인증서의 개인키를 입력해 인증서 접근권한이 있다는 사실을 입증하면 본인임이 증명된다. 인증서 개인 키 역시 직접 입력하는 길고 복잡한 문자·숫자 구성보다 패스키와 같은 방식으로 간편하면서 강력한 방법으로 진행되는 것이 일반적이다.

ID, 비밀번호, 인증서, 키 등 본인임을 입증하는데 필요한 세트 모음을 크리덴셜(자격증명)이라고 하며, 크리덴셜을 훔치면 공격자가 크리덴셜에 부여된 권한 내 활동을 정상 사용자로 위장해 수행할 수 있다.

무차별 대입·크리덴셜 스터핑으로 계정 정보 입수

공격자가 ID를 훔치는 방법은 다양하다. IDP를 해킹해 고객의 ID를 입수하는 대담한 공격을 벌이기도 하지만, 공격자는 주로 피싱, 스피어피싱을 통해 입수한다. 맨디언트가 금전목적 공격그룹 UNC3944를 분석한 보고서를 보면 이들은 타깃 기업 직원을 속여 개인정보를 탈취한 후, 이 정보를 이용해 헬프데스크를 속여 MFA를 재설정하고, 내부 시스템에서 특권계정을 훔친다.

무차별 대입 공격과 크리덴셜 스터핑을 통한 계정 탈취 공격도 위험 수준을 높이고 있다. 크리덴셜 스터핑은 미리 입수한 계정정보를 웹 서비스에 입력하면서 유효한 계정정보를 확인하거나, 추가 개인정보 획득 혹은 타깃 시스템 침투 등의 활동을 전개하기 위한 것이다.

대부분의 사용자들이 여러 웹 서비스에서 동일하거나 유사한 ID/PW 조합을 사용하며, 계정 유출 사고가 발생해도 비밀번호 변경이나 MFA 등 강력한 인증을 설정하지 않기 때문에 하나의 웹 서비스에서 유출된 ID/PW를 이용하면 다른 서비스에도 피해자 계정으로 로그인 할 수 있다.

2023년 초 크리덴셜 스터핑으로 인터넷 쇼핑몰 로그인 정보를 입수한 공격자가 쇼핑몰에 저장된 개인정보를 훔치고, 무단으로 결제를 하며 쿠폰 등을 사용하는 일이 빈번하게 발생했다. 유명 커피 프랜차이즈는 앱 해킹으로 충전금을 탈취당하는 사고도 발생했다.

크리덴셜 스터핑은 악성 봇을 이용해 공격하는데, 로그프레소 조사에 따르면 2023년 11월 한 달동안 발견된 국내 악성 봇이 전월대비 54.6% 증가, 전 세계 통계 43%보다 11.2%p 높았다. 그리고 봇 감염 사용자가 가장 많이 접속한 사이트는 네이버, 넥슨, 카카오, 해외는 로블록스와 인스타그램이었다. 봇 감염 사용자 컴퓨터에서 유출된 계정정보는 구글, 페이스북 순이었다.

이외에도 중간자 공격, 멀웨어 등을 이용해 계정정보를 훔칠 수 있다. 세션 하이재킹을 이용하면 시스템 접근 권한이 없어도 전송되는 정보를 훔칠 수 있다.

초기 침투 위한 계정정보만 판매하는 범죄조직

공격자는 “해킹하지 않고 로그인한다”는 말이 있을 만큼 ID와 크리덴셜을 도용해 침입하는 것을 선호한다. SK쉴더스에 따르면 국내에서 발생한 침해사고의 32.5%가 중요정보 유출이며, 훔친 정보의 대부분이 개인정보, ID 및 크리덴셜이었다.

초기 침투 브로커(IAB)가 초기 침투를 위한 계정정보 수집을 적극적으로 펼쳐 더 많은 피해가 발생한 것으로 보인다. 그룹아이비 조사에 따르면 2021년 하반기부터 2022년 상반기까지 1년 반 동안 IAB가 262개에서 380개로 1.5배 증가했다. 이 조직의 상당수가 해당 기간 동안 사업을 처음 시작한 것이었다.

IAB가 판매하는 것은 VPN, RDP, AD, 원격관리 패널 등에 로그인 할 수 있는 자격증명이나 피해 시스템에 심은 웹셸 접근 권한 등이다. 한국인터넷진흥원(KISA)의 2023년 상반기 위협 동향 보고서’에서는 ‘관리자 계정 공유 등 부주의한 개발자에 의한 보안사고 증가’를 지적하면서 IAB의 위험성에 대해 경고했다. 특히 시스템 개발자, 유지보수 담당자들이 업무 편의를 위해 관리자 계정이나 VPN 접속 계정을 공유하면서 정보가 유출되고, IAB에 의해 계정이 탈취되고 추가 공격에 이용되고 있다고 경고했다.

클라우드 확장으로 권한을 가진 계정이 늘어나고, 권한 오남용이 증가해 계정탈취 피해가 더 커지고 있다. 오르카 조사에 따르면 33%의 조직이 클라우드 환경에서 10% 이상 IAM 역할에 전체 관리자 권한을 부여하고 있으며, 10%의 조직은 역할의 40% 이상에 관리자 권한을 부여하고 있다. 더불어 개발자 자격증명을 탈취해 개발 과정에서 취약점이 있는 코드를 삽입하거나, 배포 시 감염된 라이브러리가 포함되도록 하면서 대규모 소프트웨어 공급망 공격을 시도한다.

강력하고 편리한 인증 기술 필수

ID 탈취 공격에 대응하기 위해서는 강력한 인증을 사용해야 한다. 그 방법 중 하나가 MFA인데, MFA도 다양한 방법으로 우회할 수 있다. 공격자는 기업·기관에서 발급 후 사용하지 않고 방치된 계정 중 MFA가 설정되지 않은 계정을 입수해 공격자의 매체로 MFA를 생성하는 간단한 방법을 사용할 수 있다.

MFA 인증번호를 무차별 입력해 사용자에게 MFA 입력 오류 메시지가 반복적으로 울리게 한 후 사용자가 무심코 MFA 재설정 버튼을 누르면 공격자가 빠르게 MFA를 공격자의 매체로 재설정한다.

헬프데스크를 속이는 방법도 쉽다. 미리 입수한 직원의 개인정보를 이용해 헬프데스크 직원에게 MFA 입력 오류로 인한 재설정을 요청한다. 헬프데스크 직원이 MFA 초기화를 위해 해당 당사자 개인정보를 확인할 때 필요한 개인정보는 공격자가 미리 입수한 상태였다.

MFA 우회공격을 피하면서 강력한 보안이 보장된 인증 방법으로 ‘패스키’가 제안된다. 사용자 기기의 안전한 저장소 혹은 웹브라우저에 패스키를 저장한 후 패스키 지원 웹사이트에서 로그인 시 저장된 패스키 정보를 불러와 저장하면 된다. 패스키 저장 기기는 동기화된 다른 기기에서도 사용할 수 있어 편리하다.

패스키는 현재 가장 쉽고 안전한 인증 방법으로 제안되고 있지만, 여전히 해킹을 통한 탈취 위험이 없는 것은 아니다. 또한 기기 분실 시 탈취될 우려가 있으며, 재발급이 번거롭다는 문제도 있다.

디지털 혁신으로 연결되는 사람과 사물이 늘어나 발급되는 ID가 급증하고, 각각의 ID에 대한 권한과 접근관리, 강력하면서도 편리한 인증 기술이 시급한 시점이다.