블로그 | CTO 사무실

보안은 (여전히) 모든 사람의 책임입니다

F5 썸네일
F5
2020년 4월 28일 게시


제 친구는 최근에 제목줄에 비밀번호가 일반 텍스트로 적힌 이메일을 받았습니다. 메시지에는 1만 달러 상당의 비트코인을 요구하는 내용이 담겨 있었습니다. 규정 준수를 보장하기 위해 공격자는 수신기를 해킹하고 파괴하는 방법에 대한 계획을 포함시켰습니다. 같은 친구는 비밀번호 관리 소프트웨어를 사용해 비밀번호를 관리했고, 140개가 넘는 다른 사이트에서 동일한 비밀번호를 사용했다는 사실을 깨달았다고 말했습니다.

분명 그는 모든 기기의 비밀번호를 바꿔야 했습니다.

사용자의 자격 증명을 얻는 것은 항상 저렴하고 쉬웠습니다. COVID-19 팬데믹이 시작된 이후 대부분의 조직과 직원들은 디지털 확장이 가속화되는 것을 경험했으며, 이로 인해 디지털 확장이 더욱 저렴해지고 쉬워졌습니다.

3월 마지막 주에 가장 많이 다운로드된 애플리케이션은 Zoom이었습니다. 불행히도 320만 명의 신규 사용자(및 모든 기존 사용자)의 경우, 악의적인 행위자들이 갑작스러운 인기를 즉시 악용하여 위협 연구원들이 1페니도 안 되는 가격으로 50만 개가 넘는 Zoom 사용자 이름과 비밀번호를 구매할 수 있었습니다.

줌, 주간 다운로드 차트 1위 차지


이 경우, 아무도 Zoom을 "해킹"하지 않았습니다. Zoom 소프트웨어의 특정 취약점을 악용한 사람은 없습니다. 공격자는 Zoom의 다른 침해 사고에서 이전에 노출된 수십억 개의 자격 증명 중 일부를 시도해 보았고, 아무 문제 없이 작동한다는 것을 확인했습니다.

사람들이 자격 증명을 재사용했기 때문에 효과가 있었습니다. 그리고 사람들은 디지털 활동에 참여하는 횟수가 늘어나면서 자격 증명을 재사용하고 있습니다. 스트리밍 서비스, 소셜 미디어 플랫폼 또는 기업용 애플리케이션에서 개설한 모든 계정은 자격 증명을 재사용할 수 있는 또 다른 기회입니다. 2015년 초, Dashlane에서 20,000명 이상의 사용자 데이터를 분석한 결과, 평균 사용자가 온라인 계정 90개를 가지고 있는 것으로 나타났습니다 . 미국에서만 그 평균은 130이었습니다. 지난 5년 동안 디지털 서비스 사용이 꾸준히 증가했고, 그에 따라 자격 증명에 대한 필요성도 커졌습니다.

기업체에서도 필요한 자격증의 수는 걱정스러울 정도입니다. LastPass 설문 조사에 따르면 "직원이 1,000명 이상인 대기업에서는 평균 직원 한 명이 약 25개의 고유 로그인을 사용하는 것으로 나타났습니다. 가장 작은 회사에서는 그 숫자가 무려 85까지 치솟습니다. 평균적인 사람이 추적하기에는 숫자와 기호가 너무 많습니다. 비밀번호 관리자가 없는 직원은 거의 필연적으로 비밀번호를 재사용하거나 사전 공격으로 쉽게 해독되는 일반적인 비밀번호를 사용하게 됩니다."

일화적인 증거에 따르면 비밀번호 관리자를 사용하는 사람조차도 여러 부동산에서 비밀번호를 재사용할 수 있다고 합니다.

공격자는 이 사실을 알고 있습니다. 개인 및 기업 계정에 대한 액세스에 성공한 것은 비밀번호 재사용의 확산과 '신임장 정보 채우기'로 알려진 기술 덕분입니다.

크리덴셜 스터핑은 크리덴셜 목록을 이용해 애플리케이션과 웹 사이트에 접근을 시도하는 공격 기법입니다. 자동화의 경이로움을 통해 공격자는 몇 분 만에 수천 개의 자격 증명 목록을 반복하여 각각을 로그인 화면에 '채워'서 작동하는 자격 증명을 찾을 때까지 작업할 수 있습니다.

디지털 혁신으로 인한 애플리케이션 확장은 악의적인 행위자가 공격할 수 있는 영역이 늘어나서 문제를 더욱 악화시킵니다. 팬데믹으로 인해 조직은 디지털 역량을 제공해야 했고, 그에 따라 자격 증명 풀과 공격자의 잠재적 타깃이 모두 확대되었습니다.

기업과 소비자 모두를 신임장 정보 유출 공격으로부터 보호하는 데 도움이 되는 모범 사례가 많이 있습니다.

  • 사용자는 업무용, 개인적 용도 모두에서 비밀번호 관리에 세심한 주의를 기울여야 합니다. 웹사이트 이름의 특정 문자와 일반적인 복잡한 비밀번호 문자열을 섞어 넣는 것과 같은 간단한 기술을 사용하면 자격 증명을 잊어버릴까 봐 불안해져서 비밀번호를 재사용하게 되는 상황을 줄이는 데 도움이 될 수 있습니다. 예를 들어, Bank of America의 비밀번호는 B<복잡한 문자열>A이고 Wells Fargo의 비밀번호는 W<복잡한 문자열>F 또는 이와 비슷한 변형입니다.
  • 기업과 가정 모두의 인프라에 있는 기본 비밀번호는 즉시 변경해야 합니다. 집에서는 라우터, 모뎀, 카메라, 홈 오토메이션 시스템, 무선 액세스 포인트 등을 의미합니다. 기업의 경우 여기에는 라우터 및 스위치와 같은 인프라나 관리자가 애플리케이션 인프라를 관리하는 데 사용하는 운영 애플리케이션이 포함됩니다. (90년대에는 기본 관리자 설정을 사용하여 라우터에 SSH를 사용하는 것이 일반적인 해킹 방법이었습니다.)
  • MITB(Man in the Browser)로 인한 피해를 최소화하기 위해 금융, 비즈니스 및 여가 활동마다 각기 다른 브라우저를 사용하세요. 브라우저를 종료할 때 캐시와 쿠키를 지우도록 설정을 변경하고, 로그아웃할 때마다 브라우저를 닫는 것을 습관으로 삼으세요.

팬데믹으로 인해 우리가 서로 소통하고 조직과 소통하는 방식이 계속해서 바뀌면서, 우리가 의존하는 애플리케이션과 계정 수는 공격자에게 계속해서 매력적인 기회가 될 것입니다. 현실적으로 어떠한 공격도 막을 수는 없습니다. 나쁜 행위자의 행동을 통제할 수 없습니다. 하지만 공격의 성공을 방지하기 위한 조치를 취할 수 있습니다.

 

자격 증명 채우기에 대한 추가 배경 정보는 자격 증명 위기를 확인하세요. 이 일은 실제로 F5 Labs 에서 일어나고 있습니다.