1. 요새 자꾸 이걸로 털림... 크리덴셜 스터핑을 막아라!!! 대응 방법
한줄요약: 요새 자꾸 이걸로 털림... 크리덴셜 스터핑을 막아라!!! 대응 방법
| 시간 | 요약 |
|---|---|
| 00:32 | 보안 담당자와 개발자 간의 협력이 중요함. |
| 02:34 | 해킹 사건에 대한 사회적 경각심이 필요함. |
| 06:03 | 해킹 공격 시나리오가 다양해지고 있음. |
| 08:04 | 크리덴셜 스터핑 공격에 대한 연구와 대응이 필요함. |
| 08:32 | 안전한 로그인 환경 조성이 필수적임. |
| 09:04 | IP 주소는 여러 기기와 공유되어 차단이 어려움. |
| 09:34 | VPN이나 프록시를 통해 IP 주소 변경이 가능함. |
| 10:02 | 로그인 시 개인 정보가 쉽게 노출될 수 있음. |
| 10:34 | 로그인 과정에서의 추가 인증이 중요함. |
| 11:04 | 크리덴셜 스터핑은 개인 정보 유출의 주요 원인임. |
2. 스크립트
GS 해킹에 대해 이야기해 볼까 합니다. 우리가 최근에 한번 이야기를 한 적이 있어요. GS25라는 편의점의 웹사이트가 해킹당해 개인 정보 9만 건이 유출된 적이 있습니다. 올해 1월에 있었던 일이죠. GS리테일 웹사이트가 해킹당해 9만 명의 정보가 유출되었습니다. 어떻게 유출이 되었는가? 바로 크리덴셜 스터핑입니다. 크리덴셜 스터핑, 여러분들도 잘 아시겠지만, 다른 사이트에서 아이디와 비밀번호를 훔쳐서 그 훔친 아이디와 비밀번호를 여기에 넣어보는 거예요. 그랬더니 로그인이 되네요. 그렇게 해서 마이 페이지에 들어가 개인 정보를 가져오는 겁니다..2.1. 보안 담당자와 개발자 간의 협력이 중요함.
GS25 사건이 발생한 후, GS리테일 쪽에서 보안 담당자와 개발자가 대화를 나누겠죠. 당연히 보안 담당자가 이렇게 이야기하겠죠. 개발자, 너희들이 제대로 개발을 안 했기 때문에 이런 해킹 사고가 일어난 거잖아. 도대체 어떻게 개발했길래 이런 사건이 난 거야? 그러니까 개발자가 그런 이야기를 하죠. 아니, 이런 방식이면 다 뚫려요. 우리만 그런 게 아니라 다른 사이트들도 다 그래요. 개발자는 억울하다는 듯이 그렇게 이야기하겠죠. 그러니까 이제 보안 담당자가 뭐라고 해요? 다른 사이트들도 다 똑같이 구현되어 있다고 하면, 다른 사이트들도 다 털렸다는 말이야. 그게 뭐야? 그 순간 정적이 찾아옵니다. 보안 담당자가 에헤이, 아니에요. 다른 사이트도 똑같이 털렸다니, 왜 그래요? 다들 민감하신가 보네요. 자, 저희 할 일 합시다.
그런데 보안 담당자가 조금 찜찜했는지 확인을 하기 시작합니다. 혹시 개발자가 다른 데도 다 똑같이 했다면, GS 편의점 말고 다른 사이트에서도 똑같이 당할 수 있다는 거네. 찾아보니까 GS리테일이 운영하는 다른 사이트들에서 홈쇼핑 웹사이트가 똑같은 해킹 기법으로 158만 건의 개인 정보가 유출된 겁니다. 확인하지 말 걸, 괜히 개발자가 저렇게 얘기하는 바람에 찝찝해서 한번 확인을 했어요. 로그를 열람해봤더니 유출된 거예요. 유출된 걸 봤으면 공지를 해야 합니다. 물론 좋은 겁니다. 그렇게 해야 되는 건데, 만약 유출된 걸 확인했는데 이걸 신고하지 않았다면 더 엄청난 처벌을 받습니다. 차라리 몰랐다고 하면, 우리 확인을 안 해봤는데 그럼 9만 건으로 넘어갔겠지만, 방법이 없죠.
그래서 대응 방법도 다시 올립니다. 여러분들, 진짜 죄송한데요. 혹시 개인 정보가 유출되면 이렇게 하시면 됩니다.라고 이야기합니다.
2.2. 해킹 사건에 대한 사회적 경각심이 필요함.
아무래도 저번 달에 한번 해킹을 당한 전적이 있으니까 가이드는 굉장히 잘하죠.. 그러면 이제 GS리테일은 걱정이 되죠. 과연 과징금은 어떻게 될까? 왜냐하면 과징금이란 게 개인정보 위원회에서 부과하는데, 똑같은 해킹 기법으로 최근 시일 내에 해킹을 당했다면 거기에 과징금이 가산됩니다. 그런데 이건 조금 억울할 수 있는 게, GS가 이제 막 편의점이 털린 걸 확인했어요. 그래서 편의점 조치를 다 했습니다. 혹시나 해서 우리 계열사에 다른 사이트들을 쭉 점검해 보니까 이와 똑같은 기법이 또 있던 거예요. 그럼 이건 가산을 해야 하나 말아야 하나? 이건 두 번째 해킹 사건이라고 봐야 되는 건지, 아니면 같은 해킹 사건인데 털린 건지. 그리고 이건 똑같은 해킹 기법으로 당했고 1월에 당했는데 2월에 또 당했으니까, 이건 과연 엄청난 가산이 이어질지가 궁금한 거죠. 지금 개인정보 위원회에서는 이를 갈고 있습니다. 짧은 시간에 연달아 똑같은 방법으로 개인 정보가 유출되었다면 과징금 가산 조항이 있습니다. 아직 과징금이 나오진 않았지만, GS리테일은 이번에 굉장히 긴장을 해야 합니다. 왜냐하면 똑같은 해킹 기법으로 해킹을 당했다는 이유로 14억 원을 부과한 전적이 2월에 있었거든요.
그러니까 GS의 수익이 더 높을 거잖아요. 그러니까 역대의 과징금이 나오지 않을까라는 생각이 조금 듭니다.. 제가 볼 땐 앞으로 이런 문제가 굉장히 많아질 거라고 생각합니다. 왜냐하면 크리덴셜 스터핑이라는 거 자체가 다른 사이트에서 아이디와 비밀번호를 가져오고 그걸 대입해 본 거란 말이에요. 그러니까 이 사이트 입장에서는 맞는 아이디와 비밀번호를 입력했는데 당연히 로그인을 시켜줘야죠. 지금 크리덴셜 스터핑에 대한 보완 조치가 된 사이트가 솔직히 말하면 그렇게 많지 않아요. 심지어 이건 인스타그램도 안 되어 있을걸요. 크리덴셜 스터핑을 막는 거 자체가 생각보다 애매합니다. 왜 애매하냐면, 사실 지금은 여러분들이 회원 가입을 잘 안 하는 시대예요.
옛날에는 구글로 로그인하는 게 별로 없었죠. 어스로 로그인하는 기능 자체가 예전에는 이렇게 활발하지 않았습니다. 요즘에는 여러분들 직접 회원 가입하시는 분들도 계시겠지만, 회원 가입을 잘 안 하고 구글로 로그인, 네이버로 로그인, 카카오 로그인 무조건 이걸 하죠. 회원 가입 안 하잖아요. 하지만 예전에는 모든 사이트를 다 직접 하나하나 가입했단 말이에요. 그러다 보니까 내가 이 모든 사이트에.... ‘트를 다 이용하는 건 아니죠. 한 번 쓰고 많은 사이트들도 있어요. 그런데 그런 곳에서도 회원 가입을 하다 보니까 아이디와 비밀번호가 헷갈리잖아요.
그러니까 다 똑같은 걸 쓸 수밖에 없습니다. 이거는 다 똑같은 걸 쓴다고 이용자들을 뭐라고 하면 안 돼요. 우리가 아이디와 비밀번호를 한두 개 만드는 것도 아니고, 수백 개를 만드는데 이걸 다 다르게 하면 외우는 게 이제 컴퓨터죠. 외우면 그게 인공지능인 거고, 그렇기 때문에 다들 똑같이 쓸 텐데 모든 사이트가 보안에 튼튼하니 그건 아니죠. 그 많은 사이트들 중에 하나는 털린다 말이에요. 이 정보들을 수집해요. 그리고 이 모은 것들을 유명한 사이트에 대입해 보는 거죠. 그래서 요즘은 크리덴셜 스터핑 공격을 하는 시나리오가 굉장히 많거든요. 이거는 기본 공격이 되어버렸어요.
그냥 다크웹에서 크리덴셜 파일을 사고, 그걸 가지고 이곳저곳 넣어 보면서 해킹을 하는 사람들도 있습니다.. 크리덴셜 스터핑, 제가 최악의 시나리오를 한번 말해 드릴까요? 우리가 어떤 사람의 아이디와 비밀번호를 알아냈어요. 그 아이디와 비밀번호를 가지고 네이버나 구글에 로그인을 해보는 거죠. 네이버에 로그인을 해보니까 대박, 2차 인증도 안 돼 있고 로그인이 되네요. 그러면 네이버가 털렸구나, 끝이 아닙니다.
2.3. 해킹 공격 시나리오가 다양해지고 있음.
네이버가 털리고 나서 알고 보니까 인스타그램 계정에 메일이 네이버 메일로 등록이 되어 있는 거예요. 그렇다는 건 뭐예요? 인스타그램 계정도 비밀번호 찾기가 있죠. 비밀번호 찾기를 하면 네이버로 메일이 갑니다. 그러면 그 메일로 인스타그램 계정도 획득할 수 있어요. 그런 식으로 구글도 네이버가 등록이 되어 있어요. 구글이 2차 인증이 아무리 되어 있더라도 네이버로 구글 비밀번호를 찾고 계정을 찾을 수 있습니다. 어라, 구글 계정을 찾았더니 구글 드라이브에 사진이 있네요. 그런데 거기에 신분증이 있네요.
그럼 그 신분증으로 비대면 계좌를 개설해 대출을 받아요. 그러면 수익도 얻을 수 있고, 플러스 내가 해킹을 했죠. 그러면 그 사람한테 민감한 사진들로 협박을 해 2차 수익을 받아요. 그만큼 단순히 아무것도 아닌 것 같죠, 크리덴셜 스터핑? 그런데 이 크리덴셜 스터핑과 연결할 수 있는 해킹 공격 시나리오가 생각보다 심각합니다. 사실 크리덴셜 스터핑 해커들이 주목하기 시작한 건 꽤 오래전부터예요. 그런데 이거에 대해서 이제 이야기가 활발하게 되는 건 앞으로지 않을까라는 생각이 조금 듭니다..
그럼 크리덴셜 스터핑, 왜 안 막는 거야? 막는 방법에 대해서 한번 이야기해 볼게요. 우리가 할 건 2차 인증입니다. 2차 인증이 있으면 무조건 2차 인증을 걸어버려요. 2차 인증 없으면 어쩔 수가 없는 겁니다.
2.4. 크리덴셜 스터핑 공격에 대한 연구와 대응이 필요함.
그건 우리가 할 수 있는 건 끝났어요. 자, 우리는 2차 인증까지 해놨으면 우리가 할 건 다 한 겁니다. 그러면 서비스 회사에서 해야 하는 것, 혹시나 보안 담당자나 개발하시는 분들이 있다면 주목해 주시면 좋겠습니다. 크리덴셜 스터핑 막는 방법입니다.
2.5. 안전한 로그인 환경 조성이 필수적임.
솔직히 저는 크리덴셜 스터핑을 근본적으로 막을 수 있는 방법은 없다고 생각해요. 맞는 아이디와 비밀번호를 제공하는데 그걸 어떻게 거부해요? 무슨 근거로 거부해요? 많은 분들이 IP 주소를 기반으로 막으면 된다고 하는데, IP 주소로 차단하는 게 말처럼 그렇게 간단한 게 아닙니다. 왜냐하면 IP 주소는 고유 주소가 아니거든요. 우리는 하나의 IP 주소만 쓰는 게 아니에요.
2.6. IP 주소는 여러 기기와 공유되어 차단이 어려움.
생각보다 많은 기기들, 많은 사람들과 하나의 IP 주소를 같이 공유해서 쓰는 경우가 생각보다 많습니다. 그러니까 내가 어떤 IP 주소로 똑같이 로그인을 시도한다고 해서 만약 막혔어, 그러면 나랑 공유하던 다른 사람들도 같이 똑같이 그 시스템을 못 쓰는 겁니다. 그러니까 IP 주소 차단이 생각보다 그렇게 쉽게 적용할 만한 것은 아니라는 거예요. 그리고 IP 주소는 우리가 바꾸려면 얼마든지 바꿀 수 있죠.
2.7. VPN이나 프록시를 통해 IP 주소 변경이 가능함.
VPN이라든가 프록시 기능을 이용하면 IP 주소는 바꿀 수 있는 게 IP 주소입니다. 그렇기 때문에 IP 주소는 근본적인 방법은 아니라고 저는 생각하고요.. 첫 번째, 크리덴셜 스터핑 지금 문제가 되는 게 뭐죠? 개인 정보가 유출되는 게 문제잖아요. 유명하지 않은 사이트에 아이디와 비밀번호를 가지고 넣었더니 로그인이 되네요.
2.8. 로그인 시 개인 정보가 쉽게 노출될 수 있음.
마이 페이지에 들어갔더니 이름과 전화번호와 이런 것들이 나와서 이런 정보들을 싹 다 긁어가니까 개인 정보가 되더라. 즉, 마이 페이지나 개인 정보를 열람할 때는 본인 인증을 하게 하는 거죠. 이런 곳이 꽤 많을 겁니다. 여러분들 사이트 이용하다 보면 마이 페이지에 들어갈 때 휴대전화 인증을 한 번 더 거치는 경우가 있죠.
2.9. 로그인 과정에서의 추가 인증이 중요함.
그래서 이렇게 적용이 된다면 적어도 크리덴셜 스터핑이 돼서 만약에 GS에 로그인했어도 로그인은 되겠지만 개인 정보를 수집해 갈 수는 없겠죠. 그렇기 때문에 마이 페이지나 개인 정보를 열람하는 곳에서는 본인 인증을 한 번 더 하게 하는 것이 조금 효과적이라고 저는 생각하고요. 두 번째 방법은 로그인할 때 캡차입니다. 여러분들 가끔 보면 로봇입니까? 이런 거 말도 안 되는 거 물어볼 때가 있죠.
2.10. 크리덴셜 스터핑은 개인 정보 유출의 주요 원인임.
우리가 생각할 때 아…. ‘니 사람이니까 지금 인터넷을 하고 있지’라고 생각할 때가 있잖아요. 로그인할 때 그 기능을 넣어주면 우리가 크리덴셜 스터핑, 이게 자동화에서 그냥 막 때려보는 거잖아요. 그런 것들은 캡차로 어느 정도 차단할 수 있으니까 막을 수 있기 때문에, 제가 생각할 때 크리덴셜 스터핑으로 개인 정보가 유출되는 걸 막으려면 이 방법만 해도 개인 정보가 대규모로 유출되어 뉴스에 뜨고 로맨틱 라이브 주제에 나오는 일은 없을 것이라고 저는 생각합니다. 제 채널에 주제로 나오는 게 그렇게 좋은 일은 아닐 거잖아요. 그렇죠?.
3. 영상정보
- 채널명: Normaltic Place
- 팔로워 수: 111,000
- 좋아요 수: 307
- 조회수: 9,890
- 업로드 날짜: 2025-03-17
- 영상 길이: 11분 48초
- 다시보기: https://www.youtube.com/watch?v=_JSDbWKrBFk
