태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
크리덴셜 스터핑 (1)
최근 발생한 개인 정보 유출, 어떻게 일어났을까? 겁난다면 반드시 알아 할 기본 수칙은?

최근 발생한 개인 정보 유출, 어떻게 일어났을까? 겁난다면 반드시 알아 할 기본 수칙은?

최근 유명 연예인의 개인정보를 해킹 당한 사건이 발생했다. 동료 연예인과 주고받은 문자 및 사진 등이 유출되면서 컴퓨터 및 핸드폰 보안에 대한 중요성이 더더욱 커지고 있다. 하지만 그 관심이 '보안의 중요성'으로 이어지기 보다는 '유출된 내용'에 집중되고 있기에 재미는 없지만 어떻게 유출되게 됐는지 또, 이를 막기 위해서는 어떤 것들을 해야하는지 정리해봤다.

어쩌다 유출된거야?

처음 사건이 터졌을 때, 이들이 사용하고 있는 스마트폰 클라우드 시스템(삼성클라우드)이 해킹 당한 것으로 알려졌다. 참고로 클라우드 서비스는 사진과 영상, 문서 등의 파일을 스마트폰 내장 메모리 등 별도의 저장 장치가 아닌 기업이 제공하는 공용 서버에 저장해 이용하는 서비스로 스마트폰은 물론 PC, 태블릿 등 다양한 기기에서 내 계정만 알고 있다면 언제 어디서든 필요할 때 접근할 수 있어 이용하기 편리하다. 다만, 반대로 이렇게 편리하다는 장점이 있는 반면 공용 서버이기 때문에 해커들의 표적이 되어 쉽게 노출되고 있다.

그러나, 이에 대해 삼성은삼성 클라우드 서버가 해킹을 당한 것이 아니며, 일부 사용자의 계정이 외부에서 유출된 후 도용되어 발생한 것으로 추정된다고 설명했다. 전문가들의 진단 역시 클라우드 자체를 해킹했다면 더 많은 피해자가 발생했을 것이며 몇 명의 유명 연예인에 그칠 리 없다는 것이다. 이러한 이유로 전문가들은 클라우드의 해킹보다는 계정 정보를 탈취한 후 개인 정보를 빼내는크리덴셜 스터핑 (Credential Stuffing)’이 더 유력할 것으로 추정하고 있다.

크리덴셜 스터핑?

크리덴셜 스터핑 (Credential Stuffing)은 해커가 다크앱을 통해 구입하는 등 다양한 경로로 불특정 다수 사용자들의 개인 인증 정보를 취득하는 것을 말한다. 이렇게 불법적으로 취득한 정보를 가지고 무작위적으로 수많은 사이트에 대입, 연쇄적으로 계정을 탈취하는 방식이다. 결론은 필자를 포함 많은 사용자가 한/두가지의 로그인 정보로 여러 사이트를 가입했기 때문에 발생한 악질적인 범죄다.

막을 수 있는 방법은? 기본 지키기!

당연히 사전에 막을 수 있는 방법이 있다. 심지어 어렵지도 않다. 바로 비밀번호 관리를 잘하는 것이 필요하다. 비밀번호 관리는 보안관리 중 간단하고 쉬운 일이지만 의외로 대다수의 사람들이 그 중요성을 간과하고 있는 작업이기도 하다.

작년에도 개인정보 74억 건을 수집한 뒤 이를 이용해 이익을 챙긴 해커가 구속된 사건이 있었다. 이들은 윈도우 정품인증 프로그램이나 엑셀 파일로 위장한 악성 코드를 유포해, 약 사년간좀비 PC’ 1 2천여 대를 운영하면서 제어 서버를 통해 원격으로 파일을 여닫거나 키보드 입력값을 파악, 개인정보를 수집해 왔다.

중요한 점은 이들이 언급한 내용중 대부분의 컴퓨터 사용자들은 비밀번호 변경을 자주 하지 않을 뿐만 아니라, 변경시에도 문자열은 변경하지 않고 문자 하나 정도만 주기적으로 돌려쓰기 때문에 자주 사용되는 특수문자 몇 가지만 대입해보면 손쉽게 사용자 계정을 훔칠 수 있었다라는 점이다.

일반적으로 IT 기기 사용자들은 여러 사이트의 로그인 계정 (ID)과 비밀번호 (Password)를 돌려쓰는 경향이 있다. 누구도 사이트마다 새로운 개인 계정과 비밀번호를 생성하지는 않는다는 것이다. 또한 조사에 따르면 컴퓨터 사용자중 10명 중 1명은 비밀번호로 ‘123456’를 사용한다고 답변했을 만큼 많은 사용자들이 ‘1111’, ‘abcd’등 유추하기 쉬운 비밀번호를 쓰는 경우도 많다. 이런 쉬운 비밀번호가 해킹의 표적이 되는 것은 당연하다. 전문가들은 비밀번호 설정에 대해 몇가지 조언을 한다. 생일, 주민등록번호 등과 같이 개인정보와 관련된 숫자는 배제해야 하며, 영문대문자, 특수기호 등을 포함시키며, 같은 글자 또는 숫자의 반복은 넣지 않는 것이 좋다고 한다.

또한 개인정보를 활용한 범행 수법이 갈수록 지능적으로 변해가는 만큼, 사용 중인 인터넷 사이트 계정의 비밀번호를 주기적으로 바꾸고 평소 자주 사용하던 문자열과 문자 조합을 정기적 변경해 주는 등 비밀 번호 관리의 세밀한 주의가 필요하다.

하지만 개인이 이용하는 사이트나 플랫폼이 한 두개가 아니기 때문에 모든 곳의 계정정보를 다 다르게 사용하는 것은 현실적으로 어렵다. 매번 잊어버리고 아이디/비밀번호 찾기를 해야하는 번거로움 때문에 결국 다시 제자리로 돌아가는 경우가 허다하다. , 이러한 경우 어려움을 덜어줄 수 있는 소프트웨어를 사용하는 것이 좋다.

이러한 소프트웨어에 대한 궁금한 점 있다면 이런 소프트웨어를 직접 사용하여 본 전문가들의 후기나 설명 등을 제공해 주는 사이트를 참고하는 것도 프로그램을 선택하는 데 도움이 된다. 이 사이트에서는 업체가 제공하는 제품에 대한 후기가 아니라, 비밀번호 관리를 위한 Dashlane 소프트웨어를 직접 구입한 작성한 객관적이고 솔직한 후기가 있어 프로그램을 선택하는데 좋은 참고가 된다.

전문가들은 이 소프트웨어를 설치하면 사용자가 현재 사용하는 모든 비밀번호를 한 곳에 모두 저장이 가능하다고 한다. 물론 다른 프로그램도 이러한 기능을 가지고 있지만 다른 프로그램은 모두 수동으로 엑셀에 저장하는 방식이지만 이 소프트웨어는 클릭 한번으로 이 기능이 수행된다고 하니 번거롭게 다운로드 받고 할 필요가 없다. 또한 모든 비밀번호를 한 저장소에 모아 놓는 것이 아니라 중요도 또는 기능에 따라 비밀번호를 저장하는 곳이 다르다.

예를 들어 결제용 비밀번호, ID 또는 여권번호, 그리고 WIFI 등 일반 번호 등이 저장되는 장소가 다르기 때문에 개인정보를 관리하는데 더욱 용이하다. 또 다른 중요한 기능은 비밀번호 자동 변경 기능이다. 이 기능은 현재 내가 저장한 모든 비밀번호의 목록에서 안전하지 않은 비밀번호를 구별하여, 이러한 비밀번호를 선택하여 클릭 한번만 하면 비밀번호가 변경되는 기능이다. 이 기능은 비밀번호를 안전성을 확인할 수 있는 기능과 함께 정기적으로 비밀번호를 변경하여 안전성을 높일 수 있는 기능까지 포함하고 있는 것이다. 또한 이번 유명 연예인의 해킹 사건처럼 다크웹의 위험성을 인지하여 다크웹 모니터링 기능까지 장착되어 있다.

마지막으로 보안을 더욱 강화하기 위해 요즘 대부분의 사이트에서 제공하는이중인증또는다중인증을 활성화해두는 게 좋다. 비밀 번호 이외에 생체인식이나 SMS 문자로 개인 인증을 확인하는 등 이중인증 또는 다중인증 기능이 있다면 활성화시켜 놓는 것이 보안을 높이는 방법 중 하나이다. 전문가들은 해커들이 해킹하기 가장 힘든 요소 중 하나가 이러한 이중 또는 다중인증방식을 이야기한다. 지문인증 후 패스워드 입력을 하거나, 홍채인증 후 OTP (One Time Password) 사용하는 방식이 1차 정보가 탈취되더라도 2차 인증이 불가능하기 때문에 정보는 안전하게 보호될 수 있다.

네이버의 경우도 패스워드 입력 후 2단계 인증방식으로 SMS, 전화통화, 인증 메시지 입력방식, 보안키 등 네 가지 방법 중 선택할 수 있기에 꼭 설정하는 것이 필요하다. 실제 필자의 경우 네이버 포스트를 운영하고 있는데 해킹으로 인해 도박사이트 관련 포스팅이 올라와서 차단된 적이 있다. 이러한 피해를 최소화 하기 위해서는 번거롭더라도 다양한 인증 방식을 추가하는 것이 필요하다.

뒤늦게 후회 말고!

이는 극히 일부의 대응 방법이다. 하지만 이것만으로도 해킹의 위협에서 어느정도 벗어날 수 있기에 꼭 실천해보기를 권해본다. 탈탈 털리고 후회하느니 조금 번거로운 것이 백번 천번 나으니 말이다.

 

  Comments,   0  Trackbacks
댓글 쓰기