세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
우리은행 해킹 시도, ‘크리덴셜 스터핑’ 논란 재점화
  |  입력 : 2018-06-30 08:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
우리은행 공격자, ‘크리덴셜 스터핑’으로 5만여 건 성공
은행 측 보안 문제 vs 비밀번호 재사용하는 이용자 탓


[보안뉴스 오다인 기자] 우리은행(행장 손태승)에서 고객정보 56,000건을 바탕으로 해킹 시도가 발생한 가운데, ‘크리덴셜 스터핑(Credential Stuffing)’과 관련한 논란이 재점화되고 있다. 하나의 비밀번호를 여러 계정에 쓰는 이용자 문제라는 입장과 탐지·대응을 제대로 못한 은행 측 문제라는 입장으로 나뉘고 있다.

[로고=우리은행]


우리은행에 따르면, 사이버 공격자는 23일부터 27일까지 5일간 우리은행 인터넷뱅킹 웹사이트에서 총 85만회 로그인을 시도했다. 공격자는 앞서 타 은행에서 유출된 로그인 정보를 이용한 것으로 추정된다. 해당 은행과 동일한 ID·비밀번호 조합을 사용한 우리은행 고객 56,000명이 이번 공격으로 피해를 입었다.

우리은행은 “IP 3곳에서 다량의 로그인 시도가 있었다”며 “사이버수사대와 금융보안원에 관련 사실을 알렸다”고 29일 확인했다. 우리은행은 “FDS(이상금융거래탐지시스템)와 일부 민원을 통해 공격 사실을 인지하게 됐다”고 밝혔다. 최초 탐지 시점인 23일부터 5일간 공격을 차단하지 않은 이유에 대해서는 “정상거래인지 비정상거래인지 파악하기 위해서였다”고 설명했다.

우리은행은 “ID·비밀번호 정보만으로는 계좌이체 등의 금융거래가 불가능하기 때문에 금전적 피해는 발생한 바 없다”고 강조했다. 실제로 시중 은행들은 인터넷뱅킹 이용 시 본인확인 수단(로그인 방식)에 따라 이용할 수 있는 기능에 차등을 두고 있다. 이체 등의 실거래를 하고자 할 때는 잔액조회 같은 단순 기능보다 높은 수준의 본인확인을 요구한다는 것이다.

현재 타 은행들은 우리은행과 유사한 공격이 발생했는지 파악하기 위해 자체적인 조사에 돌입한 상태다.

이번 사건과 관련해 우리은행의 보안상 과실을 묻는 목소리가 높아지는 한편, 공격자가 정당한 이용자의 ID·비밀번호 조합으로 로그인한 행위에 대해 이용자 부주의를 피해 원인으로 지목하는 입장도 있다.

이른바 ‘크리덴셜 스터핑’ 공격이란 공격자가 이미 확보한 크리덴셜(로그인 정보 등 개인 신상과 관련해 암호화한 정보)을 다른 계정들에 마구 대입하는(stuffing) 방식으로 이용자 정보를 침해하는 것을 가리킨다. 동일한 비밀번호를 여러 계정에서 사용하거나 이전에 사용했던 비밀번호를 다시 사용한다면, 다른 곳에서 유출된 정보로 한꺼번에 피해를 입을 수 있어 위험하다.

우리은행의 경우에도 공격자는 크리덴셜 스터핑을 통해 고객정보 56,000건에 접근하는 데 성공했다. 크리덴셜 스터핑은 정당한 이용자, 즉 실제 고객의 ID·비밀번호 조합을 사용하기 때문에 해당 정보가 입력되면 은행 시스템은 정당한 이용자라고 판단한다. 만약 이용하는 은행들의 인터넷뱅킹 ID·비밀번호가 모두 동일하게 설정돼 있다면, 단 한 군데만 유출돼도 전체가 위험해진다고 볼 수 있다.

다만, 이용자 부주의만으로 보기에는 은행 측에서 추가적인 보안을 구축했어야 했다는 비판도 따른다. 정당한 이용자의 ID·비밀번호 조합이 입력됐다 하더라도 다른 측면에서 비정상적인 접근을 차단할 방법이 존재한다는 것. 우리은행이 가장 기초적인 공격 중 하나인 크리덴셜 스터핑 공격을 차단하기 위해 적절한 조치를 마련해 놓았는지, 혹은 이를 막을 방법이 전혀 없었던 것인지 구분해서 살펴봐야 한다고 금융권 관계자는 설명했다.

또한, 우리은행이 공격 탐지 후 적절한 시간 내 소관기관에 보고했는지에 대한 의문도 남아있다. 전자금융감독규정 제73조 ‘정보기술부문 및 전자금융 사고보고’에 따르면, 금융회사 및 전자금융업자는 전자적 침해행위로 인해 정보처리시스템에 사고가 발생한 경우 지체 없이 금융감독원장에게 보고해야 한다.

우리은행은 23일~27일 공격 사실 여부를 판단한 뒤 28일 금융감독원에 보고했다고 밝혔다. 우리은행은 “보고 시점의 적절성은 금융감독원에서 판단할 문제”라고 덧붙였다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)