Home > 전체기사
사이버 공격의 주요 트렌드, 계정 탈취의 두 가지 형태
  |  입력 : 2018-05-02 16:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
강력하게 치고 빠지는 전략과 느리지만 꾸준히 공격하는 전략
공격자들 사이에서도 트렌드가 존재해...금요일과 토요일 주의해야


[보안뉴스 문가용 기자] 로그인 페이지가 있는 웹사이트를 운영 중이라면 계정 탈취 공격의 표적이 되었을 가능성이 높다. 로그인 페이지를 가지고 있는 거의 모든 웹사이트들(96%)에서 악성 봇이 발견되었고, 이 봇은 계정 탈취 시도들에 활용되었다고 보안 업체 디스틸 네트웍스(Distill Networks)가 보고했기 때문이다.

[이미지 = iclickart]


로그인 페이지들은 가장 어뷰징이 심한 종류의 웹 페이지들이라고 디스틸 네트웍스는 밝힌다. 이들은 로그인 페이지들이 있는 약 600개의 도메인을 연구한 후 특히나 악성 봇 트래픽이 많이 발생하는 약 100개의 페이지를 심도 있게 연구해 배드 봇(Bad Bot)이라는 보고서를 작성했다.

계정 탈취 시도와 관련된 행위들은 기본적으로 소수 혹은 다수의 크리덴셜들이 적용되는지 안 되는지 시험해보는 것과 관련이 있다. 그래서 잘 통한다면 공격자들은 해당 사용자 이름과 비밀번호를 다크웹에 팔거나 계정에 접속해 개인정보 혹은 금융 정보를 훔쳐낸다. 그리고 그걸 사기에 활용하거나 다크웹에 판다.

이러한 계정 탈취 공격은 크게 두 가지 유형으로 나뉜다. 둘 다 비슷한 빈도로 나타나는데, 하나는 볼륨메트릭(volumetric) 공격이다. ‘볼륨’이라는 단어에서 알 수 있듯, 봇이 로그인 페이지에 크리덴셜을 어마무시하게 대입하는 것이다. 크리덴셜 스터핑(credential stuffing)이라고도 불리는데, 이 공격은 탐지가 간단하다. 활동량이 500%~5000% 급증하기 때문이다.

그렇다면 공격자들은 왜 볼륨메트릭 공격을 하는 것일까? 공격자들이 얻어가는 장점이 있기 때문이다. 그것은 공격의 결과가 곧바로 확인된다는 것이다. 디스틸의 제품 마케팅 책임자인 에드워드 로버츠(Edward Roberts)는 “로그인 시도가 갑자기 평소보다 수백~수천 배 증가한다면, 볼륨메트릭 공격을 의심해야 한다”고 주장하면서 “많은 사이트에서 많은 크리덴셜을 확인해볼 수 있다는 것 자체만으로 이미 공격자들에게는 이득이므로 빈번히 나타난다”고 설명한다.

볼륨메트릭 공격은 데이터 유출 사고가 발생하고 300% 증가한다. 공격자들이 곧바로 대입해볼 수 있는 유형의 데이터가 잔뜩 풀리기 때문이다. 봇 운영자들은 이때 두 가지 사실을 전제로 깐다. 1) 최근 훔친 크리덴셜이니 아직도 유효할 것이다. 2) 사람들은 같은 크리덴셜을 여기저기 활용한다. 전문가들은 하루에 약 17번의 볼륨메트릭 계정 탈취 공격을 탐지한다고 한다. 기업별로 보면 한 달에 약 2~3번 꼴로 발생하며, 어떤 곳은 10번까지도 같은 공격을 받는다.

볼륨메트릭 외 또 다른 계정 탈취 공격 기법은 ‘숨죽이고 천천히’라고 알려진 “크리덴셜 크래킹 및 스터핑”이다. 악성 봇들이 24시간 내내 지속적인 로그인 요청을 보내는 것인데, 페이스가 훨씬 느리고, 그렇기 때문에 탐지가 보다 어렵다.

볼륨메트릭 공격은 보통 정해진 시간 동안만 발생한다. 그러나 숨죽이고 하는 느린 공격은 악성 요청을 정해진 기한 없이 꾸준하게 내보낸다. 시작과 끝을 파악해내는 것이 힘들 정도로 ‘늘 거기에 존재하는’ 요소로서 남아있다.

로버츠는 “로그인 페이지들이 존재하는 사이트들은 공격당할 가능성이 굉장히 높다”고 경고한다. “항공사, 각종 쇼핑몰 사이트, 금융 거래 사이트들이 대표적이죠. 이런 곳에서는 계정 탈취 시도가 항상 일어납니다. 단순한 공격도 있고, 보다 수준이 높은 공격도 있습니다.” 수준이 높은 공격일수록 기업의 탐지에 걸리지 않는다고 그는 설명을 덧붙였다.

그렇다면 기업들은 간단한 계정 탈취 공격을 어떻게 막아야 할까? 로버츠는 “특정 IP 주소들을 차단하면 된다”고 말한다. “심지어 특정 국가에서 오는 트래픽 전체를 막는 것도 한 방법입니다. 하지만 조금이라도 더 복잡한 공격 방법의 경우 기기의 지문을 파악해 차단하는 것이 좋은 방법이 될 수 있습니다. 고급 공격의 경우는 각 요청의 합법성을 깊게 검토한 후 확인된 것만 통과시키는 방법이 가장 낫고요.”

디스틸은 “공격자들 사이에서 핵심이 되는 트렌드가 존재한다”고 조금 다른 팁을 제공한다. “최근 공격자들은 날짜와 공격 빈도를 정해놓고 공격을 감행합니다. 예를 들어 수요일에 가장 많은 공격을 한다는 등의 계획이 세워져 있는 것이죠. 지난 주 수요일에 불법 로그인 시도가 많았다면, 다음 주 수요일에도 그럴 가능성이 높습니다.” 그러면서 금요일과 토요일에 공격이 가장 많이 발생한다고 로버츠는 덧붙였다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)