강은성의 보안 아키텍트ㅣ크리덴셜 스터핑 공격과 사업자의 역할

10년이 좀 넘지 않았나 싶다. 포털에서 개인정보가 유출됐다는 글이 인터넷 카페에 퍼진 적이 있다. 갑자기 외국(특히 중국)에서 로그인한 기록을 본 이용자들이 놀라서 자신이 참여한 인터넷 카페에 올린 것이다. 요즘으로 치면 크리덴셜 스터핑 공격이다. 당시에는 아이디, 비밀번호를 확보한 자들이 쓸모있는 것들을 분류하기 위해 한 것으로 추정하고, 비활성 고객 계정은 국외에서의 접속을 기본으로 차단하는 등 여러 방안을 짜냈다. 필자 역시 보안팀과 함께 ‘몸빵’하면서 고생을 좀 했다. “가지 많은 나무에 바람 잘 날 없다”는 우리 속담이 실감 나던 때였다.

크리덴셜 스터핑 공격은 보안이 취약한 타 사이트나 암시장 등을 통해 사전에 확보한 아이디와 비밀번호 등 계정정보(Credential)를 여러 사이트에 넣어(Stuffing) 로그인을 시도하는 공격 방법이다. 우리말로 하면 ‘계정정보 대입공격'이라고 하는 것이 적절할 것 같다. 

이 공격은 2020년 1월 휴대폰을 통해 클라우드에 올라간 연예인의 사적 콘텐츠가 유출된 사건이 드러나면서 대중적으로 알려졌다. 휴대폰이 해킹된 게 아니냐는 말이 돌자 삼성에서 “일부 사용자의 계정이 외부에서 유출된 후 도용되어 발생한 것으로 추정”된다고 공지했다(“삼성클라우드 관련하여 알려 드립니다”).
 

보안기업 SK쉴더스의 EQST Insight에 따르면, 계정정보 대입공격은 2020년 국내 침해사고 원인의 23%, 2021년 침해사고 원인의 32.5%로 침해사고 원인 중 비중이 가장 높다. 

지난 6월, 개인정보보호위원회는 계정정보 대입공격으로 78만여 건의 개인정보가 유출된 I사에 대해 10억 3000만 원의 과징금과 과태료를, 같은 방식의 공격으로 개인정보 28만여 건이 유출된 P사에 4500만 원의 과징금과 과태료를 부과했다. 그런데 개인정보위의 이 행정처분은 이 두 회사에서 이 공격으로 개인정보가 유출되었기 때문이 아니라 한 IP에서 수십만 또는 수백만 건의 접속(로그인) 시도가 있었는데, 그것을 탐지, 차단하지 못했다는 것이다(개인정보위 속기록(2023.6.14)). 속기록을 보면 개인정보위에서는 개인정보처리시스템 관점에서 이 공격을 이용자의 적법한 로그인으로 간주할 수 있다는 점을 인정한다. 
 

특정 IP에서 대량의 로그인 시도 약 1,159만 건이 있었고, 로그인 성공률이 약 1.3%로 매우 낮음에도 IP주소 재분석 및 차단을 하지 않았으며, 크리덴셜 스터핑을 적극 방지하기 쉽지 않다는 현실을 고려하더라도, 동일 IP주소에서 최대 1,159만 건, 일 평균 21만여 건의 로그인 시도를 인지하지 못한 것은 개인정보처리시스템에 대한 불법적인 개인정보 유출시도를 탐지하는 등 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 노력을 소홀히 한 것으로 판단하였습니다. (개인정보위 조사조정국장, 개인정보위 속기록, 2023.6.14.)

차단할 임계값이 얼마일지, 여러 IP에서 로그인을 시도하면 어떻게 할지 등 검토할 사항이 좀 있지만, 계정정보 대입공격으로 개인정보가 유출됐다는 것 자체로 행정처분을 내린 것이 아님은 분명해 보인다. 개인정보위에서 삼성전자의 개인정보 유출 건에 관해 행정처분을 결정하면서 삼성클라우드의 연예인 사적 콘텐츠 유출 사건에 대해서는 개인정보보호법 위반으로 보지 않은 것 역시 이를 뒷받침한다.

최근에도 한국장학재단(6월)과 한국고용정보원의 워크넷(7월)에서도 계정정보 대입공격으로 개인정보 유출 사건이 발생했다고 하니, 이들에 대한 행정처분 결과를 보면 더욱 명확해질 것으로 보인다.

계정정보 대입공격은 사전 기반 공격(Dictionary attack)이나 무차별 대입공격(Brute force attack)과 같이 계정정보(또는 비밀번호) 기반의 공격이면서 이미 확보한 계정정보를 이용하므로 다른 공격보다 성공 확률이 높다. 심지어 성공 확률이 40% 가까이 나온 예도 있다. 해킹에 성공한 계정정보가 암시장에서 더 비싼 값에 팔리고, 이를 악용한 계정정보 대입공격으로 이어지는 악순환이 생길 수도 있다.

당연한 얘기지만, 계정정보 대입공격은 범죄다.
 

정보통신망법 제48조(정보통신망 침해행위 등의 금지)     ① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.

정보통신망법 제48조 제1항은 ‘해킹'의 불법성에 대한 근거 조항이다. (제48조 제2항은 악성 프로그램 유포, 제3항은 디도스 공격에 관한 규정이다) 다른 사람의 계정으로 로그인하는 것은 “정당한 접근권한 없이 정보통신망에 침입”하는 행위다. 5년 이하의 징역 또는 5000만 원 이하의 벌금에 처해질 수 있는 중범죄다. 타인의 의사에 관계없이 (고의로) 그 사람의 계정에 로그인하면 형사처벌을 받을 수 있다는 점에 유의하여야 한다. 

계정정보 대입공격에 대해 사업자가 취할 수 있는 보안대책으로는 다음 몇 가지를 생각해 볼 수 있다.

개인정보보호 법규를 준수하는 측면에서는 같은 IP에서 일정 수 이상의 계정에 로그인을 시도하거나 한 기기에서 일정 회수 이상 로그인 시도를 하면 해당 IP나 기기를 차단하는 정책을 방화벽에 설정할 수도 있다(위 개인정보위 속기록 참조). 

특정 계정에 대해 온라인 로그인이 일정 횟수 실패 시 로그인을 차단하고 비밀번호 변경 프로세스를 거치게 하는 것은 계정정보 기반 공격을 막는 데 ‘가성비’ 좋은 보안대책이다. 

다중 로그인, 신규 IP나 신규 기기에서 로그인 등 이상 행위 요건에 해당하는 로그인이 발생했을 때 이메일이나 문자, 메신저 등으로 이용자에게 통보하는 방안도 있다.

중국 등 공격이 잦은 국외 지역에서의 접속을 기본 차단하거나, 이용자들을 대상으로 최근 계정정보 대입공격으로 개인정보가 유출된 사례를 설명하며 대대적인 비밀번호 변경 캠페인을 벌이는 것도 고려해 볼 만하다. 

무엇보다도 계정정보 기반의 공격에 대응하는 전통적인 보안대책은 소유기반 인증 또는 생체인증 등을 이용한 다중인증(Multi Factor Authentication)이다. 이미 네이버나 카카오, 구글, 마이크로소프트, AWS 등 주요 인터넷 서비스에서 이를 제공한다. 국내 금융서비스에서도 이체하려면 기본적으로 다중인증을 해야 한다. 비용과 기술 측면에서 어렵지 않게 도입할 수 있는 보안대책이다. 

계정정보 대입공격으로 개인정보가 대량 유출되는 사건이 발생하면서 사업자에 대한 사회적 비난이 일기도 한다. ‘기술’이라고 할 것도 없는 이 공격은 그래서 막기 어렵다. 대량의 로그인 시도를 임계값 기반의 기술로 막으려 하면 공격자는 그 임계값을 넘지 않게 공격을 조정할 수 있고, 수동으로 하는 공격은 탐지하기 어렵다. 

따라서 B2B 서비스나 일정 규모 이상의 B2C 서비스에서는 다중인증을 제공하는 것이 바람직하다. 무엇보다도 중요한 자신의 정보를 보호하기 위해 다중인증을 사용하는 것은 이용자의 몫이지만 말이다.

   
* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 정보보호학과 조교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr