최근 국내의 유명 이커머스에서 고객이 구매한 모바일 상품권 핀번호가 대거 도난당한 사건이 발생했습니다. 사고의 원인으로 아이디와 패스워드에만 의존하고 있는 단순한 사용자 인증 방식이 지목되었습니다. 이번 사고는 크리덴셜 스터핑(Credential Stuffing)으로 불리는 해킹 공격에 의해 발생한 사고로 예상되고 있습니다. 이 사건 이전에도 국내 다른 이커머스 시장에서 크리덴셜 스터핑을 통한 공격으로 사용자의 피해가 발생하였고 이러한 사고는 지속적으로 반복되고 있는 상황입니다.
크리덴셜 스터핑이란? Credential Stuffing
크리덴셜 스터핑은 사용자의 계정을 탈취하는 공격 유형 중 하나로, 공격자가 이미 확보한 사용자의 로그인 인증 정보를 이용해서 다른 사이트 및 서비스에 무작위로 대입하여 계정을 탈취하는 공격 방식 중 하나입니다. 브루트 포스 (brute force)로 불리는 무차별 대입 기법과 유사해 보이지만 이미 확보한 계정 정보를 사용한다는 점에서 브루트 포스보다 성공 확률이 높습니다.
출처:전자신문
- 크리덴셜 스터핑 개념도
그러면 이러한 개인정보는 어떻게 해커들의 손에 들어갈까요? 가장 쉬운 방법은 동료 해커로부터 구매하는 방법입니다. 일반적으로 접근이 어려운 다크웹, 딥웹에서는 개인정보를 비롯한 다양한 정보가 거래되고 있습니다. 개인정보, 카드 정보를 비롯하여 RDP 등과 같은 정보까지 다양한 경로로 수집된 민감한 정보가 거래되고 있어 높은 IT 및 해킹 지식이 없더라도 손쉽게 정보와 툴을 입수하여 공격 시도해 볼 수 있습니다.
출처: 다크 웹 포럼 내 한국인 개인정보 판매 글
Mandiant의 2023년 사이버 보안 전망 보고서는 자격 증명이 집중 타깃이 되고 있는 상황에 주목하고 있습니다. 이전에는 엔드 포인트에 대한 제어권을 확보하는 방법에 공격자의 역량이 집중되었다면 최근에는 사용자의 크리덴셜 및 계정에 대한 액세스 권한을 확보하는 방법으로 전환되고 있습니다. 크리덴셜이 도용되면 침입이 쉬워지게 되어 그 영향력 또한 강력합니다.
출처: Mandiant, 2023년 사이버 보안 전망 보고서
이 때문일까요? OKTA(Auth0)에서 2022년 발행한 ID 보안 현황(2022 State of Secure Identity Report)에 따르면 고객들의 계정과 관련한 침해 수단으로 크리덴셜 스터핑이 급증하고 있으며 이러한 현상은 악성 봇과 자동화 툴, 비밀번호 재사용 등으로 인해 가속화되고 있다고 설명합니다.
발생 현황과 심각성을 데이터로 살펴보면 OKTA CIC(Auth0)의 전체 네트워크 트래픽 중 34%가 크리덴셜 스터핑 시도로 발생하였다고 합니다. 이는 약 100억 번의 시도이며 2022년 1분기에는 하루에 3억 번 이상 치솟은 경우도 2번이나 발견되었다고 합니다.
출처: 2022 State of Secure Identity Report by OKTA(Auth0)
이러한 고객인 증정본(CIAM, Customer Identity and Access Management)를 겨냥한 공격은 지속적으로 발전되고 수행되고 있습니다. OKTA2022년 버라이즌 데이터 침해 조사 보고서(Verizon’s Data Breach Investigation Report 2022)에 따르면 데이터 침해의 절반 가까이는 도용된 크리덴셜에서 시작하며 웹 애플리케이션에 대한 공격과 관련된 침해의 80%는 도난된 자격 증명을 활용한 공격에서 출발하고 있다고 설명합니다.
기업은 어떻게 대비해야 하는가?
이러한 변화되는 사이버 위협에 대해서 기업은 어떻게 대처해야 할까요? Mandiant에서는 기업의 무암호(Passwordless)인증 도입이 가속화될 것으로 전망하고 있습니다. 기업의 크리덴셜 공격과 다중 인증기술을 우회하는 다양한 사례들이 관측되고 있어 이에 대한 대비로 Apple, Google, Microsoft는 FIDO Alliance 및 World Wide Web Consortium의 표준을 바탕으로 소비자 기반의 무암호 리소스를 갖추기 위해 노력할 것이라고 이야기하고 있습니다. 초기에는 소비자, 고객이 인증정보 영역인 CIAM에 초점을 맞춰 진행되고 이후에는 기업의 ID플랫폼에도 이를 적용하는 방식으로의 확장을 예상하고 있습니다. IAM을 강화하는 방안
OKTA에서는 Auth0 인수 후 통합된 Customer Identity Cloud를 통해 보다 고객이 인증정보에 대한 다양한 보안 기능과 편의 기능을 제공하고 있습니다. Simple, but highly customizable to your needs라는 주제에서도 확인할 수 있듯 기업 입장에서는 쉽고 빠르게 고객인증정보 처리 문제를 해결하고 다양한 고객 기반의 정보를 추가로 활용할 수 있습니다. 이를 통해 사용자에게 통일된 브랜드 정보를 제공받으면서 최소한의 마찰로 인증을 강화하는 효과를 제공할 수 있습니다.
또한 이메일, SMS, 매직 링크, 바이오메트릭 등의 정보를 이용한 무암호(Passwordless)인증을 즉시적으로 구현하고 적용할 수 있습니다.
이러한 보안사항들과 편의성은 임직원을 위한 WIC(Workforce Identity Cloud)에서도 동일하게 제공할 수 있으며 보다 쉽게 기업에서 사용하는 다양한 어플리케이션들과 연동하여 임직원의 업무 경험을 향상시키며 보안을 강화할 수 있습니다.
위협 대응을 강화하는 방안
고객의 개인정보가 유출되어 우리의 서비스에 영향을 줄 수 있는지? 임직원의 정보가 유출되어 침해에 위협에 노출되지 않는지? 항상 모니터링하는 자세가 필요합니다. 하지만 현실은 밀려드는 업무와 부족한 인력으로 녹녹하지 않는 게 현실입니다.
Mandiant Advantage를 이용한다면 이러한 고민을 같이할 파트너를 만나실 수 있습니다. Mandiant의 위협 인텔리전스를 기반으로 하는 접근 방식으로 기업에 영향이 있는 보안 이벤트들을 모니터링하고 이를 바탕으로 대응전략을 수립할 수 있습니다. 더불어 이러한 전략 수립에 도움을 줄 수 있는 다양한 컨설팅 서비스를 제공하고 있어 기업 보안담당자들의 고민을 같이 해결하기 위해 노력하고 있습니다.
기업의 사용자 및 임직원의 계정관리에 대해 궁금하시다면 OKTA를, 다양한 사이버 위협에 대한 대응을 강화하는 방안에 대해 궁금하시다면 Mandiant를 통해 해결책을 제시해 드릴 수 있습니다. 다온기술은 Mandiant와 OKTA 모두 최고 등급 파트너를 보유한 전문 파트너로서 여러분이 가지고 계신 고민에 적절한 솔루션을 제공해드리고 있습니다. 하단 문의하기 또는 메일을 통해 언제든지 연락해 주시면 답변드리겠습니다. Okta & Mandiant 솔루션 문의하기 sales@daont.co.kr
Comments