[개인정보 보호와 활용②] 지능화되는 개인정보 탈취 범죄

홈 > 뉴스 > 뉴스 > 보안

[개인정보 보호와 활용②] 지능화되는 개인정보 탈취 범죄

기 유출된 개인정보 이용해 고급 개인정보 훔쳐…DNS 이용한 개인정보 유출 공격도 빈번

관련기사

[개인정보 보호와 활용①] 심각해지는 개인정보 유출 사고

2018년 08월 10일 08:31:19

김선애 기자

iyamm@datanet.co.kr

개인정보와 보호와 활용을 ‘양날의 검’으로 비유하는 것은 적절하지 못하다. 돈이 되는 ‘고급 개인정보’를 훔치려는 사이버 범죄자들이 늘고 있다. 이에 대응하기 위해서는 개인정보를 철저하게 보호해야 한다. 그러나 개인화 서비스가 발달한 현재, ‘개인정보 보호’에만 집중하면 경쟁력있는 서비스를 제공하지 못한다. 개인정보를 안전하게 보호하면서 적법하게 활용할 수 있는 환경이 시급히 필요하다. <편집자>

데이터 유출 사고는 신원도용부터 시작

개인정보 유출의 또 다른 유형으로 ‘크리덴셜 스터핑(Credential Stuffing)’을 들 수 있다. 공격자가 계정 정보를 무작위로 입력시켜 추가 정보를 획득하는 공격을 말한다.

우리은행 인터넷뱅킹이 크리덴셜 스터핑 공격을 당해 5만6000여건의 부정 로그인 시도를 허용했다는 사실이 알려져 충격을 준 바 있다. 공격자들은 미리 입수한 개인정보 75만여건으로 인터넷뱅킹 접속을 시도해 5만6000여건이 접속된 것으로 알려졌다.

이 사고로 우리은행 FDS의 문제가 지적되기도 했다. 몇 개의 IP에서 수십만건의 접속 시도가 있었고, 대부분 정상계정이 아니어서 접속이 차단됐는데도 우리은행은 인지하지 못했다. 몇 몇 고객이 인터넷뱅킹 로그인 오류를 알리는 문자메시지를 받고 우리은행에 문의해서 알게 될 정도로 부정접속에 대한 대책이 마련돼 있지 않았다.

우리은행의 FDS가 제대로 작동하지 않았던 것이 심각한 문제이지만, 공격자들이 이미 개인정보를 확보하고 있으며, 추가공격을 통해 개인정보를 계속 수집하고 있다는 것도 큰 문제로 지목된다. 지난해 이스트소프트 개인정보 유출 사고 역시, 공격자들이 미리 입수한 개인정보를 이용해 16만명의 개인정보를 탈취하고 이스트소프트를 협박했던 것이다.

F5네트웍스에 따르면 최근 8년간 71억건 이상의 인증정보 도용 시도가 발생한 것으로 나타났다. 공격자들은 다크웹 등에서 개인정보를 구입하거나 직접 탈취한 후 이 정보를 또 다른 공격에 이용한다. 대부분의 사용자들이 여러 웹 서비스에 동일한 ID/PW를 사용한다는 점을 노린 것이다. 특히 금융, 여권, 의료, 신용카드 등의 서비스에 동일한 암호를 사용했을 때 매우 위험하다.

범죄자들은 인증정보를 수집하는 자동화된 봇을 이용해 인증정보를 탈취하기도 한다. 크리덴셜 스터핑 공격 성공률은 1~2% 정도이며, 100만건의 인증정보를 구입했다면 1만~2만개의 계정에 액세스 할 수 있다는 뜻이다.


▲크리덴셜 스터핑 공격 방법(자료: F5네트웍스코리아)

정상계정 이용하는 크리덴셜 스터핑, 위협 인텔리전스로 차단

전통적인 브루트포스 공격은 무작위로 대입해 로그인 정보를 탈취하는 방식이다. 대부분의 웹서비스는 동일한 IP에서 여러 차례 로그인 시도가 실패하면 추가 인증 단계를 요구하기 때문에 초보적인 브루트포스 공격은 방어할 수 있다. 동일 IP에서 여러 계정이 접속을 시도할 때 차단하는 방법도 사용할 수 있지만, 단순하게 IP 정보만을 제어하는 것으로는 정상/비정상 로그인 시도를 알아내지 못한다.

크리덴셜 스터핑은 부르트포스보다 한 차원 진화한 것으로, 공격자가 이미 정상 계정을 갖고 접근하기 때문에 차단이 어렵다. 피싱 등의 공격에 속아 개인정보를 함부로 넘겨주지 말고, 멀티팩터 인증(MFA)을 통해 계정을 보호하는 것이 중요하다.

봇을 통해 불법적인 정보를 수집하고 개인정보를 유출하는 공격은 악성봇 차단 기술이 대안이 될 수 있다. 로그인 시도를 하는 클라이언트를 식별해 정상 단말인지 아닌지 확인하는 방법, 웹사이트를 난독화해 계정 정보 입력하는 부분을 봇이 인지하지 못하게 할 수 있으며, 사용자가 입력하는 정보를 암호화해 봇이 무작위로 탈취해가지 못하게 할 수 있다.

다크웹 등에서 판매하는 개인정보 DB를 이용해 부정 로그인 시도를 막는 서비스도 최근 각광받고 있다. 글로벌 위협 인텔리전스 서비스로 이용할 수 있으며, 기존에 유출된 정보로 로그인을 시도했을 때 사용자에게 해당 사실을 알려주는 방식을 택할 수 있다.

신기욱 F5코리아 상무는 “크리덴셜 스터핑은 정상 계정을 이용하기 때문에 FDS와 같은 탐지 기술로는 막기 어렵다. 탈취된 계정 DB와 동일한 계정정보 로그인 시도가 감지됐을 때 사용자에게 알려주는 서비스를 이용하면 부정 로그인 시도의 상당수를 차단할 수 있으며, 웹 서비스 신뢰도도 올라갈 수 있을 것”이라고 설명했다.

DNS 이용해 보안 시스템 우회하는 개인정보 유출

또 다른 개인정보 유출 방식으로 DNS를 이용하는 사례가 있다. DNS 터널링 공격은 DNS를 C&C와 통신하는 채널로 사용하는 것이다. 멀웨어를 다운로드하거나 유출한 데이터를 전달할 때 방화벽을 우회하기 위해 DNS를 사용한다.

DNS로 개인정보를 유출하는 방식은 매우 간단하다. 공격자들은 엔드포인트를 감염시킨 후 중요한 데이터가 있는 파일에 접근한다. 개인정보 등 중요 데이터를 암호화하고 인코딩 해 보안 솔루션이 감지하지 못하도록 한 다음 청크로 분할시켜 TXT 레코드의 호스트네임, 서브 도메인을 사용해 DNS를 통해 C&C 서버로 전송한다. C&C 서버에서 범죄자는 개인정보를 추출해낸다.


▲DNS를 통한 개인정보 유출 프로세스(자료: 인포블록스)

대규모 개인정보도 이 같은 방식으로 유출이 가능하다. DNS 쿼리는 평소의 정상적인 환경에서도 쉴새없이 발생하기 때문이다. 스마트폰에 기본 앱만 설치돼 있을 때, 스마트폰을 껐다 켜면 70개 이상의 쿼리가 발생한다. 수많은 DNS 쿼리 안에 개인정보를 슬쩍 끼워 전송하면 쉽게 개인정보를 유출할 수 있다.

이헌주 인포블록스코리아 지사장은 “DNS는 가장 중요한 커뮤니케이션 수단이지만, 대부분의 경우 DNS를 보호하는데 아주 소홀한 상황이다. 그래서 공격자들은 DNS를 이용해 데이터를 쉽게 탈취해간다”며 “인포블록스는 DNS가 공격에 이용당하지 않도록 보안을 강화하고 있으며, 글로벌 위협 인텔리전스, 보안 에코시스템 등을 통해 지능적인 위협으로부터 DNS와 기업 자산을 보호한다”고 밝혔다.