해킹을 대비하는 우리의 자세 (2) - 크리덴셜 스터핑 공격의 이해와 쉽고 간단한 대응법 (ft. 동행복권 해킹 사건)

소개

최근 동행복권 해킹 사건에서 해커들은 '크리덴셜 스터핑 (Credential Stuffing)' 과 웹 취약점 공격 기법을 사용했다고 합니다. 그래서 우리는 우리의 계정이 이러한 공격에 어떻게 노출되는지, 그리고 우리가 어떻게 보호할 수 있는 지를 이해하는 것이 중요할 것입니다. 

 

2편에서는 먼저 크리덴셜 스터핑이란 무엇이며, 이 공격을 대비하는 쉽고 간단한 방법을 정리하려고 합니다.

 

크리덴셜 스터핑 공격 이해하기

 

크리덴셜 스터핑 공격은 마치 많은 양의 열쇠꾸러미를 가지고 여러 자물쇠를 열기 위해 수백, 수천 차례 시도해 보는 것과 비슷한 방법으로 기존에 다른 곳에서 유출된 아이디와 비밀번호를 조합하여 무작위로 접속을 시도하는 것입니다. 

 

크리덴셜 스터핑 공격은 많은 사람들이 여러 다른 서비스에도 같은 아이디와 비밀번호를 사용한다는 점에 착안하였습니다.  해커들은 유출된 로그인 아이디와 비밀번호를 대량으로 수집하여 자동화된 소프트웨어로  로그인 시도를 통한 공격 을 합니다. 이것은 '리스트 형 공격(list-based attack)'의 한 형태로, 다른 웹사이트나 서비스에서 유사한 로그인 정보를 사용하는 사용자들의 계정을 쉽게 해킹할 수 있게 합니다.  이 소프트웨어는 매우 빠른 속도로 수천, 수만 건의 로그인을 여러 사이트를 대상으로 동시에 시도할 수 있습니다. 이러한 공격기법이 바로 크리덴셜 스터핑(Credential Stuffing)입니다

 

 

"크리덴셜 스터핑(Credential Stuffing)" 공격을 대비하는 우리의 자세

 
이러한 공격을 방어하는 방법 중 하나는 '강력한 비밀번호'를 사용하고, '다양한 비밀번호'를 사용하는 것입니다. 또한 '2중인증(2FA), '다중 인증(MFA)' 같은 추가 보안 조치를 활용하는 것도 매우 중요합니다. 이렇게 하면 해커가 비밀번호를 알아내더라도, 두 번째 인증 단계를 통과하기 어렵기 때문에 계정을 보호할 수 있습니다.
 

1. 강력한 비밀번호의 사용

 
"강력한 비밀번호"를 사용한다는 것은 해킹이나 무단 접근으로부터 자신의 계정을 보호하기 위해 쉽게 추측할 수 없는 비밀번호를 설정하는 것을 의미합니다.
 
강력한 비밀번호를 만드는 몇 가지 기본 원칙은 다음과 같습니다.
 

• 길이: 비밀번호는 최소 8~12자 이상이어야 합니다. 길이가 길수록 더 안전합니다.
• 복잡성: 대문자, 소문자, 숫자, 그리고 특수문자를 포함하는 것이 좋습니다.
• 예측 불가: 일반적이지 않은, 쉽게 추측할 수 없는 조합을 사용해야 합니다. 예를 들어, 'password123'이나 '12345678' 같은 단순하고 자주 사용되는 비밀번호는 피해야 합니다.
• 유일성: 각 계정에 다른 비밀번호를 사용해야 합니다. 한 계정의 비밀번호가 노출되더라도 다른 계정은 안전할 수 있습니다.
• 정기적인 변경: 주기적으로 비밀번호를 변경하는 것이 좋습니다, 특히 보안 사고가 의심되는 경우에는 즉시 변경해야 합니다.
• 개인 정보 배제: 생일, 기념일, 자녀의 이름 등 개인적으로 연관된 정보나 쉽게 접근할 수 있는 정보를 포함하지 않아야 합니다. 예를 들어, 'F1r$tN@m3!'는 강력한 비밀번호의 좋은 예입니다. 이는 대소문자, 숫자, 특수문자를 포함하고 있으며, 예측하기 어려운 조합을 사용하고 있습니다.

 
강력한 비밀번호를 기억하고 관리하기 위해서는 비밀번호 관리자를 사용하는 것도 좋은 방법입니다. 이런 도구들은 여러분의 모든 강력한 비밀번호를 안전하게 저장하고 필요할 때는 쉽게 제공해 줍니다.

 

 

2. 다양한 비밀번호의 사용

 

다양한 비밀번호를 사용한다는 것은 각기 다른 온라인 계정마다 서로 다른 비밀번호를 설정하는 것을 의미합니다. 이는 한 계정의 보안이 위협받았다 하더라도 다른 계정들은 안전할 것입니다.
 
예를 들어, 이메일 계정, 소셜 미디어 계정, 은행 계정 등 각각의 서비스에 로그인할 때 같은 비밀번호를 사용하지 않고, 각각 다른 비밀번호를 사용해야 합니다. 그래서 만약 한 서비스가 해킹되어 비밀번호가 유출되더라도, 다른 서비스에서 같은 비밀번호가 사용되지 않기 때문에 그 해킹이 다른 계정으로 확산되는 것을 방지할 수 있습니다. 
 
이러한 습관을 잘 유지하기 위해서는 많은 계정정보를 기억할 수 있어야 합니다. 그래서 많은 사람들은 비밀번호 관리자를 사용합니다. 비밀번호 관리자는 각기 다른 강력한 비밀번호를 생성하고, 그것들을 안전하게 저장하며, 필요할 때 자동으로 해당 비밀번호를 입력해 줍니다. 이는 사용자가 각 서비스마다 다른 비밀번호를 기억하는 부담을 줄여주면서도 보안을 강화하는 효과적인 방법입니다.

 

반응형

 

3. 다중요소인증(Multi-Factor Authentication, MFA)의 사용

 
다중요소인증(Multi-Factor Authentication, MFA)은 여러 단계의 인증 절차를 통해 사용자의 신원을 확인하는 보안 절차입니다. 이 방법은 단순히 아이디와 비밀번호만으로 접근을 허용하는 것이 아니라, 사용자가 누구인지를 증명하기 위해 두 가지 이상의 다른 인증 수단을 요구합니다. 
 
MFA의 세 가지 주요 인증 요소는 다음과 같습니다.
 

• 지식 (무언가 사용자만이 알고 있는 것, 예: 비밀번호, PIN)
• 소유 (무언가 사용자가 가지고 있는 것, 예: 스마트폰, 보안 토큰)
• 생체 인식 (사용자의 물리적 특성, 예: 지문, 얼굴 인식)

 
은행에 로그인할 때를 생각해 보겠습니다.
 

• 당신은 사용자 이름과 비밀번호를 입력합니다(지식).
• 그런 다음 은행은 당신의 스마트폰으로 일회용 코드를 보냅니다(소유). 당신은 그 코드를 입력하여 자신이 그 계정의 정말로 정당한 소유자임을 증명합니다.
• 때로는 추가로 지문을 스캔하라고 요청할 수도 있습니다(생체 인식).

 
MFA는 크리덴셜 스터핑 공격에 매우 효과적인 방어책입니다. 왜냐하면 해커가 비밀번호를 알아내더라도, 추가 인증 단계를 통과하지 못하기 때문입니다.  예를 들어, 해커가 당신의 비밀번호를 알고 있다고 해도, 당신의 전화기에 접근할 수 없다면, 그들은 당신의 계정에 로그인할 수 없습니다.
 
보안기업들이 MFA를 강력히 권장하는 이유는, 이러한 다중 인증 절차가 계정 보안을 크게 강화시키기 때문입니다.  MFA는 사용자의 계정이 해커에 의해 쉽게 침해당하는 것을 방지하여, 개인정보와 재산을 더욱 안전하게 보호할 수 있게 도와줍니다.

 

 

맺음말

크리덴셜 스터핑 공격은 언제든지 우리의 온라인 생활을 위협할 수 있습니다. 하지만 각별한 주의를 기울이고, 강력한 비밀번호를 설정하며, MFA 같은 추가적인 보안 조치를 사용함으로써, 우리는 이러한 위협으로부터 스스로를 보호할 수 있습니다. 이러한 습관을 일상에 통합함으로써, 우리는 사이버 공간에서의 안전을 한층 더 강화할 수 있습니다.

 

다음 글 예고

 

다음 글에서는 이 사건에 사용된 해킹 공격 기술 중 또 하나인 "웹 취약점" 공격에 대해 쉽게 알아보고, 우리는 어떻게 대비해야 하는 지도 이야기 해 보겠습니다. 우리 모두의 보다 안전한 온라인 생활을 응원합니다.

 

연재글 목록

제 1 편: 해킹을 대비하는 우리의 자세 - 동행복권 해킹 사건, 피해 확산 방지를 위해 무엇을 해야 하는가?

해킹을 대비하는 우리의 자세 (1) - 동행복권 해킹 사건, 피해 확산 방지를 위해 무엇을 해야 하는

 

제 2 편: 해킹을 대비하는 우리의 자세 (2) - 크리덴셜 스터핑 공격의 이해와 쉽고 간단한 대응법

해킹을 대비하는 우리의 자세 (2) - 크리덴셜 스터핑 공격의 이해와 쉽고 간단한 대응법 (ft. 동행

 

제 3 편: 해킹을 대비하는 우리의 자세 - 웹 취약점 공격의 이해와 철저한 대응방법

해킹을 대비하는 우리의 자세 (3) - 웹 취약점 공격의 이해와 철저한 대응방법 (ft. 동행복권 해킹

 

제 4 편: 해킹을 대비하는 우리의 자세 - 해킹에 맞서는 생활 속 작은 실천들

해킹을 대비하는 우리의 자세 (4) - 해킹에 맞서는 생활 속 작은 실천들 (ft. 동행복권 해킹 사건)