분류2 해킹 포럼서 약 100억 개 비밀번호 유출… 크리덴셜 스터핑 예방법 4가지
페이지 정보
본문
때로는 취약점을 악용하기 위한 전문 지식이 없어도 계정을 쉽게 해킹할 수 있다. 유출된 정보를 가져와 인터넷의 다른 곳에 배치하는 것만큼 간단한 방법도 없다. 비밀번호 수집 정보가 대량으로 공개되는 것은 이런 이유에서 위험하다. 최근 100억 개에 가까운 비밀번호 유출 사고가 발생해 사용자의 주의가 요구되고 있다. 
7월 4일 한 포럼에서 99억 4,400만 개의 유출 비밀번호를 모아놓은 비밀번호 덤프 ‘락유2024(RockYou2024)’가 발견됐다. 락유2024에는 락유2021에 포함된 항목, 최근 유출/침해로 인한 데이터, 게시한 사람이 크랙한 데이터가 포함돼 있다. 락유2021은 소셜 미디어 사이트와 관련된 수백만 개의 비밀번호 항목을 포함해 84억 개의 비밀번호 항목과 함께 공개됐다(참고로 지난 1월 발견된 MOAB(Mother of All Breaches)에는 비밀번호 이외의 정보를 포함해 260억 개의 개인 데이터가 포함돼 있었다).
락유2024와 관련한 가장 큰 시사점은 모든 사용자가 즉시 계정 보안을 강화해야 한다는 것이다. 특히 지난 5월 말의 대규모 티켓마스터(Ticketmaster) 유출 사건 이후 유출된 계정의 비밀번호를 변경하지 않았거나 비밀번호를 재사용했다면 크리덴셜 스터핑(유출된 로그인 정보로 다른 사이트에서 로그인을 시도하는 공격)의 피해자가 될 수 있다.
따라서 자신의 계정을 더 잘 보호하려면 다음 단계를 따르기를 바란다.
- 각 계정마다 고유하고 무작위적이며, 강력한 비밀번호를 사용한다. 쉽게 추측할 수 없는 문자열을 사용하는 것이 좋다. 예를 들어, ‘gu3$$this’보다는 ‘pastaturnfriendlyamalgamation20’ 같은 비밀번호가 상대적으로 더 안전하다.
- 비밀번호 관리자를 사용한다. 좋은 비밀번호를 기억하기 어려울 수 있다. 관리해야 할 비밀번호가 많다면 더욱 그렇다. 비밀번호 관리자를 사용하면 전체 비밀번호 컬렉션을 추적하고 로그인 양식에 길고 복잡한 비밀번호를 간편하게 입력할 수 있다. 비밀번호 관리자 단독 프로그램은 더 유연하고 다양한 기능을 제공하지만, 바이러스 백신 제품군에 포함된 비밀번호 관리자 기능이나 애플, 구글, 마이크로소프트에서 제공하는 비밀번호 관리자도 유용하다. (단, 이메일 비밀번호는 따로 외워두는 것이 좋다).
- 지원 가능한 경우 계정에 2단계 인증을 추가한다. 크리덴셜 스터핑 공격을 차단하는 보호 계층을 확보할 수 있다. 해커는 두 번째 보안 검사를 통과할 수 없으므로 로그인할 수 없다. 최근에는 앱에서 생성된 일회용 비밀번호가 간편함과 보안의 균형을 가장 잘 맞춰주지만, 더 강력한 옵션을 원한다면 하드웨어 동글을 사용하는 방법도 있다.
- 패스키로 업그레이드한다. 2단계 인증은 비밀번호 보안을 향상시키지만, 일부 2단계 인증 방법은 피싱 공격에 취약하므로 완벽한 보안은 아니다. 패스키를 사용해 계정에 로그인하면 이런 문제를 피할 수 있다. 패스키는 고유하고 외울 필요가 없으며 피싱을 당할 수 없도록 설계됐다. 해커가 웹사이트의 고객 로그인 정보를 훔쳐도 해당 데이터를 사용해 해당 사이트나 다른 사이트에 로그인할 수 없다.
패스키는 비밀번호보다 노력이 훨씬 덜 들기 때문에 가능하다면 패스키로 전환하는 것을 가장 추천한다. 패스키를 저장할 휴대폰이나 PC를 분실했을 때를 대비해 백업만 잘 해두면 된다. 다행히 현재 많은 주요 비밀번호 관리자에서 패스키를 저장할 수 있다.
editor@itworld.co.kr
댓글목록
등록된 댓글이 없습니다.