F5의 Shape Security Intelligence Center 부사장인 Dan Woods와 F5 Labs 위협 전문가인 Sander Vinberg가 DevCentral의 John Wagnon과 Jason Rahm과 함께 F5 Labs의 새로운 자격 증명 채우기 보고서에 대해 자세히 알아봅니다.
자세한 내용을 알아보려면 2021년 자격 증명 채우기 보고서 전문을 확인 하고 여기에서 DevCentral Connects 토론의 확장 버전을 시청하세요. 보고서의 주요 결과 요약도 아래에서 확인하실 수 있습니다.
F5 Labs의 최신 자격 증명 유출 보고서에 따르면, 연간 자격 증명 유출 사고 건수는 2016년부터 2020년까지 거의 두 배로 증가했습니다 .
이런 종류의 가장 포괄적인 연구 이니셔티브에서는 같은 기간 동안 유출된 자격 증명의 양이 46% 감소했다고 보고했습니다. 평균 유출 규모도 감소하여 2016년 6,300만 건에서 작년 1,700만 건으로 줄었습니다. 한편, 2020년 중간 유출 규모(200만 건)는 2019년 대비 234% 증가했으며 2016년(275만 건) 이후 가장 높은 수치를 기록했습니다.
대량의 손상된 사용자 이름 및/또는 이메일과 비밀번호 쌍을 악용하는 자격 증명 스터핑은 전 세계적으로 확산되고 있는 문제입니다. 이에 대한 한 가지 예로, FBI가 작년에 발행한 민간 산업 통지문에서는 이 위협이 2017년부터 2020년까지 미국 금융 부문에서 발생한 보안 사고의 가장 큰 원인(41%)이라고 경고했습니다.
F5 커뮤니티(F5 Labs 및 DevCentral)의 수석 디렉터인 Sara Boddy는 "공격자들은 수년간 수십억 개의 자격 증명을 수집해 왔습니다."라고 말했습니다. "자격 증명 유출은 석유 유출과 같습니다. 일단 누출되면 청소하기가 매우 어렵습니다. 자격 증명은 겸손한 소비자가 변경할 수 없고 자격 증명 채우기 솔루션은 아직 기업에서 널리 채택되지 않았습니다. 이러한 연구 기간 동안 HTTP 공격에서 자격 증명 채우기로 가장 흔한 공격 유형이 바뀐 것은 놀라운 일이 아닙니다. 이러한 공격 유형은 애플리케이션 보안에 장기적인 영향을 미치며 조만간 바뀔 것 같지 않습니다. 해킹당하는 것을 걱정한다면, 그것은 자격 증명 스터핑 공격에서 발생할 가능성이 가장 높습니다."
F5 연구소의 위협 연구 전문가이자 보고서 공동 저자인 샌더 빈버그는 이러한 조사 결과를 바탕으로 조직들이 계속 경계할 것을 촉구했습니다.
그는 "2020년에 유출된 신원정보의 전체 양과 규모가 감소한 것은 흥미로운 일이기는 하지만 아직은 축하할 일이 아니다"고 경고했다. "신임장 정보 입력 및 피싱을 포함한 액세스 공격은 이제 침해의 가장 큰 근본 원인입니다. 보안팀이 데이터 유출 및 사기에 맞서는 전쟁에서 승리할 가능성은 매우 낮으므로 이전에 혼란스러웠던 시장이 더욱 성숙해짐에 따라 안정화되는 모습을 보게 될 것으로 보입니다."
업계 모범 사례에 대한 합의가 커지고 있음에도 불구하고 보고서의 주요 결과 중 하나는 비밀번호 저장이 제대로 이루어지지 않는 것이 만성적인 문제로 남아 있다는 것입니다.
대부분의 조직에서는 비밀번호 해싱 알고리즘을 공개하지 않지만 F5는 90건의 특정 사건을 연구하여 자격 증명 유출의 가장 큰 원인을 파악할 수 있었습니다.
지난 3년 동안 자격 증명 유출 사고의 42.6%는 보호되지 않았으며 비밀번호는 일반 텍스트로 저장되었습니다. 그 다음은 비밀번호 해싱 알고리즘 SHA-1과 관련된 자격 증명의 20%로, '솔트 처리되지 않은'(즉, 비밀번호 끝에 추가하여 다른 해시 값을 생성할 수 있는 고유한 값이 없는) 자격 증명이었습니다. 'Salted' bcrypt 알고리즘은 16.7%로 3위를 차지했습니다. 놀랍게도 널리 신뢰를 잃은 해싱 알고리즘인 MD5는 해시에 솔팅을 적용한 경우에도 유출된 자격 증명의 일부(0.4%)를 차지했습니다. MD5는 소금에 절였든 안 절였든 수십 년 동안 약하고 형편없는 관행으로 여겨져 왔습니다.
보고서에서 주목할 만한 또 다른 사실은 공격자가 자격 증명 악용 성공률을 최적화하기 위해 '퍼징' 기술을 점점 더 많이 사용하고 있다는 것입니다. 퍼징은 수정된 입력으로 파서를 반복적으로 테스트하여 입력 파싱 코드의 보안 취약점을 찾는 프로세스입니다. F5는 대부분의 퍼징 공격이 손상된 자격 증명이 공개되기 전에 발생했다는 사실을 발견했는데, 이는 이 관행이 정교한 공격자에게서 더 흔하다는 것을 시사합니다.
F5는 2018년 신임장 정보 유출 보고서 에서 신임장 정보 유출이 대중에게 알려지는 데 평균 15개월이 걸렸다고 보고했습니다. 이런 현상은 지난 3년 동안 개선되었습니다. 사고 날짜와 발견 날짜가 모두 알려져 있는 경우, 사고를 감지하는 데 걸리는 평균 시간은 현재 약 11개월입니다. 그러나 이 수치는 감지 시간이 3년 이상 걸리는 소수의 사건으로 인해 왜곡되었습니다. 사고를 감지하는 데 걸리는 평균 시간은 120일입니다. 조직이 침해 사실을 공개하기 전에 다크 웹에서 유출이 감지되는 경우가 많다는 점을 알아두는 것이 중요합니다.
유출에 대한 발표는 일반적으로 다크 웹 포럼에 자격 증명이 나타나는 것과 동시에 이루어집니다. F5는 2020년 신임장 정보 유출 보고서에서 신임장 정보 유출과 다크 웹 게시 사이의 중요한 기간을 구체적으로 분석했습니다.
연구원들은 '컬렉션 X'라고 불리는 수천 건의 별도 데이터 침해에서 얻은 거의 90억 개의 자격 증명 샘플을 사용하여 역사적 분석을 수행했습니다. 이 자격 증명은 2019년 1월 초에 다크 웹 포럼에 게시되었습니다.
F5는 Collection X 자격 증명을 발표일(자격 증명 유출이 대중에게 처음 알려진 날짜)로부터 6개월 전과 6개월 후에 고객 그룹에 대한 자격 증명 스터핑 공격에 사용된 사용자 이름과 비교했습니다. 연구 대상은 Fortune 500에 포함된 4개 고객(은행 2개, 소매업체 1개, 식음료 회사 1개)으로, 21개월 동안 720억 건의 로그인 거래를 처리했습니다. 연구원들은 Shape Security 기술을 사용하여 도난당한 자격 증명의 도난, 판매 및 사용을 통해 '추적'할 수 있었습니다.
12개월 동안 29억 개의 다양한 자격 증명이 합법적인 거래와 4개 웹사이트에 대한 공격에 사용되었습니다. 자격 증명의 약 3분의 1(9억 개)이 손상되었습니다. 도난당한 자격 증명은 은행에서의 합법적인 인간 거래에서 가장 자주 나타났습니다(각각 35%와 25%). 공격의 10%는 소매업을 대상으로 했으며, 약 5%는 음식 및 음료 사업을 대상으로 했습니다.
연구에 따르면 Credential Stuffing 보고서는 자격 증명 남용의 5가지 뚜렷한 단계를 식별했습니다.
Boddy는 "사용자가 온라인에서 계정에 로그인하도록 요구하는 한 자격 증명 채우기는 위협이 될 것입니다."라고 덧붙였습니다. "공격자는 사기 방지 기술에 대한 공격을 계속 수정할 것이므로 자격 증명 채우기 및 사기와 관련된 적응형 AI 기반 제어에 대한 강력한 필요성과 기회가 발생합니다. 공격을 100% 즉시 감지하는 것은 불가능합니다. 사기꾼이 포기할 정도로 공격 비용이 크게 높아지는 것이 가능 합니다 . 사이버 범죄자와 사업가의 세계에서 공통적으로 적용되는 사실이 하나 있다면, 시간은 돈이라는 것입니다."
위협 인텔리전스와 사이버 보안에 대한 추가적인 관점을 알아보려면 https://www.f5.com/labs를 방문하세요.