사용자 이름과 비밀번호같은 계정 정보를 취득·조합해 여러 사이트에 대입하며 액세스를 시도하는 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격이 심각한 수준이다.

‘크리덴셜 어뷰즈(Credential Abuse, 자격증명 남용)’를 조사해온 아카마이는 ‘크리덴셜 스터핑’ 공격이 지난 2017년 11월부터 2019년 3월까지 총 17개월간 전 산업군에 걸쳐 총 550억건 발생했다는 결과를 내놨다.

모든 산업, 다양한 기업들이 ‘크리덴셜 스터핑’ 공격 대상이 되고 있는데, 그 중에서도 게임업계가 공격자들의 주요 표적이 되고 있는 것으로 나타났다. 소매유통, 미디어·엔터테인먼트 분야에서도 크리덴셜 공격이 많이 나타나고 있다.

14일(현지시간) 열린 아카마이 고객 행사인 ‘엣지 월드(Edge World) 2019’에서 공개한 ‘아카마이 2019 인터넷 보안 현황 리포트 : 웹 공격과 게이밍 어뷰즈)’에 따르면, 17개월간 전체 550억건의 공격 가운데 게임업계에서만 120억건의 ‘크리덴셜 스터핑’ 공격이 나타난 것으로 확인했다.

게임사용자 계정은 범죄자들의 최대 수익원 

범죄자들의 목적은 돈이다. 게임업계는 범죄자들이 빠르게 수익을 올릴 수 있게 해주는 최대 먹잇감이 됐다. 게임은 그 안에서 무기나 레어 아이템, 스킨 등의 구매가 활발히 이뤄지기 때문에 공격자들이 빠르게 상품화할 수 있는 대상이다.

도용된 사용자 계정정보가 신용카드나 페이팔(Paypal) 같은 결제 계정과 연결돼 있으면 액세스에 성공한 범죄자들은 게임 아이템 구매까지 할 수 있게 된다.

마틴 맥키(Martin McKeay) 아카마이 보안 연구원 겸 인터넷 보안 현황 보고서 수석 편집장은 “게임업계가 해커에게 매력적인 표적인 이유는 손쉽게 인게임(in-game) 아이템을 교환할 수 있기 때문”이라며, “게이머는 게임에 돈을 지불하는 틈새시장 타깃이다. 이러한 특성이 해커들에게 매우 매력적인 목표물이 될 수 있다”고 밝혔다.

<출처 : 아카마이 2019 인터넷 보안 현황 리포트 : 웹 공격과 게이밍 어뷰즈>

대다수 크리덴셜 스터핑 공격은 봇넷(botnet)과 올인원(AIO) 애플리케이션에서 발생한 것으로 분석됐다. AIO 애플리케이션은 버그와 보안 문제, 사용자인터페이스(UI)와 기능 개선을 제공하는 정기 개발 라이프사이클까지 제공되는 형태로 판매되고 있다. 엔트리 레벨 AIO는 미화 약 20달러다.

AIO 애플리케이션을 사용하는 공격자들은 표적이 된 사용자가 속한 조직의 인증 방식을 겨냥해 자동화된 방식으로 액세스를 진행하고 성공하면 계정을 탈취한다.

많은 사용자와 기업은 로그인 시도가 문제가 된다는 것을 알고 있지만 대부분의 조직에서 공격의 범위와 복잡성을 제대로 인식하지 못하고 있다는 평가다.

아카마이는 “크리덴셜 스터핑 공격에 대한 ‘면역체계(immune)’를 가진 산업군은 없다”고 진단했다.

또 “계정(account)은 상당한 가치가 있다는 점에서 앞으로도 이같은 공격은 쉽게 감소하지는 않을 것”이라고 내다보고 있다.

다크넷에서 판매되는 검증된 포트나이트 계정 <출처 : 아카마이 2019 인터넷 보안 현황 리포트 : 웹 공격과 게이밍 어뷰즈>

비밀번호 재사용, 쉬운 비밀번호 사용 문제…다중·추가인증 사용해야

범죄자들은 ‘포트나이트’, ‘카운터스트라이크’같은 인기 게임 사용자를 표적으로 삼아 계정을 탈취하려고 시도한다. 공격자는 필요한 크리덴셜을 얻으면 해당 계정을 판매하거나 거래하는 방식으로 지하경제를 활성화한다.

여러 사이트에서 같은 비밀번호를 사용하는 비밀번호 재사용, 쉬운 비밀번호 설정은 범죄자들에게 크리덴셜 스터핑 공격을 성공시키는 좋은 기회를 제공한다.

다중요소인증(MFA), 오픈인증(OAuth), 하드웨어 기반 인증토큰같은 강화된 추가인증을 사용하지 않는 경우 사용성은 좋지만 보안성은 약화된다. 사용성과 보안을 맞바꾸는(trade-off) 결과를 초래한다.

사용자들이 MFA 사용 등으로 크리덴셜을 지키는데 스스로 책임성을 가져야 한다. 기업들도 고객과 사용자를 보호할 수 있는 방어역량과 함께 사용자 보호를 위한 교육과 견인조치를 수행해야 한다.

국가별로 전체 크리덴셜 스터핑 공격은 미국이 가장 높게 나타났으며, 러시아와 캐나다, 베트남도 상위권에 들었다. 게임업계 관련 공격은 러시아가 가장 많다. 미국은 3위, 캐나다가 4위다.

‘SQL 인젝션’ 웹사이트 공격과도 밀접

보고서에서 아카마이는 또 SQL 인젝션(SQLi) 공격과 크리덴셜 스터핑 공격이 거의 직접 연결되어 있다고 분석했다. 다크넷(Darknet)과 다양한 포럼에 유포되는 크리덴셜 스터핑 목록의 대부분은 세계 최대 규모의 데이터 침해 사건에서 입수한 데이터를 이용하고 있으며, 상당수가 SQLi 공격에 의한 것이다.

실제로 아카마이는 올해 초 보안이 취약한 웹사이트에 SQLi 공격을 감행해 얻은 인증정보를 사용해 인기 있는 온라인 게임을 대상으로 크리덴셜 스터핑 공격 목록을 생성하는 방법을 알려주는 영상을 발견한 바 있다.

<출처 : 아카마이 2019 인터넷 보안 현황 리포트 : 웹 공격과 게이밍 어뷰즈>

전체 웹 애플리케이션 공격 중 SQLi 공격은 약 3분의 2(65.1%)를 차지했다. 로컬 파일 인클루전(Local File Inclusion·LFI) 공격이 24.7%로 그 뒤를 이었다. SQLi 공격은 2018년 연말 쇼핑 시즌에 급증한 이후 지속적인 증가 추세를 보이며 놀라운 속도로 성장했다. 2017년 1분기 SQLi 공격은 전체 애플리케이션 레이어 공격의 44%를 차지했다.

10대 국가별 웹 공격 근원지로는 미국이 1위에 올랐고, 러시아 네덜란드 중국 브라질 우크라이나 인도 프랑스 독일 영국이 그 뒤를 이었다.

글. 바이라인네트워크
<라스베이거스=이유지 기자>yjlee@byline.network