크리덴셜, 즉 사용자 이름과 비밀번호가 조합된 정보는 다크웹에서 인기리에 거래된다. 단순히 정상 로그인을 가능하게 해 주기 때문이 아니다. 무려 4단로 활용해가며 이익을 극대화시킬 수 있다고 한다. 그 방법이 오늘 공개됐다.

[보안뉴스 문가용 기자] 크리덴셜 침해가 발생했다고 대대적으로 알려지기 한참 전부터 이미 사건은 시작된다고 보안 업체 F5 네트웍스(F5 Networks)가 공개했다. 알려지기 시작할 때, 그래서 수사가 들어가고 유관 기관의 조사가 들어갈 때는 이미 크리덴셜의 가치가 줄어든 때라고 한다.

​

[이미지 = utoimage]

F5 네트웍스가 최근 알려진 크리덴셜 관련 사고들을 분석한 결과, 탈취된 크리덴셜들은 ‘5단계 악용’의 과정을 거친다고 한다. 그리고 크리덴셜이 새나갔다는 사실을 피해 조직이 알아채는 데에는 평균 4개월이 걸린다고 한다. 그나마도 외부 전문가나 매체 등에서 이 사실을 알려줬어야 했던 것으로 조사됐다.

F5의 위협 분석가인 샌더 빈버그(Sander Vinberg)는 “크리덴셜을 탈취한 공격자들은 최초 수일 혹은 수주 동안 이 정보를 은밀하게, 자신만의 목적을 위해 활용하려고 한다”고 설명한다. 이 ‘목적’이라는 것은 거의 대부분 특정 네트워크에 침투해 공격 지속성을 확보하거나, 주요 계정을 탈취하는 것이었다. “자신이 훔친 것을 가지고 1차적인 현금화를 시도하는 것이죠. 이게 성공하면 장기적으로 피해를 입히는 게 가능하게 됩니다.”

2단계에서 공격자들은 은밀한 활동들을 마치고 다른 사이버 범죄자들과 크리덴셜 데이터를 공유하기 시작한다. 이 단계에서 크리덴셜이 다크웹 같은 곳에서 퍼져가며, 크리덴셜 스터핑 공격의 재료가 된다. 실제 크리덴셜 스터핑 공격이 급증하기 시작하는 것도 이 단계에서다. 이 기간은 약 1달 정도 지속되는데, 크리덴셜 스터핑 공격이 급증하면서 크리덴셜이 도난됐다는 것을 피해자들이 알아채기 때문이다.

피해자들이 비밀번호를 변경하는 등의 조치를 취하기 시작하면서 악용의 세 번째 단계로 접어든다. 특히 아마추어 해커들에게까지 크리덴셜이 도달한다는 것이 큰 특징이다. 아마추어 해커들은 이 때부터 사용자 이름과 비밀번호를 여기저기 대입하고 다니는데, 주로 큰 규모의 웹 서비스들에서 공격을 실시한다. 빈버그는 “이 단계에서 경제적 손실이 가장 많이 발생한다”고 설명한다. 왜냐하면 “기업들이 여러 규정에 걸려 벌금 등을 내기 때문”이다.

F5 네트웍스가 규정한 네 번째 단계에서는 크리덴셜들의 가치가 많이 하락한 상태다. 그럼에도 공격자들은 이를 적극 활용하는데, 주로 ‘리패키징’ 작업에 쓰인다. 다크웹에 돌아다니는 여러 다른 크리덴셜들과 합쳐서 ‘종합선물세트’와 같은 상품으로 재구성하는 것이다. 가치가 하락하긴 했지만 여전히 못 쓸 정도는 아니라 이런 식의 사업도 수익이 나쁘지 않다고 한다. 이 단계까지 거친 크리덴셜은 5단계에서 폐기처분 된다. 누가 공식적으로 수거해 삭제하는 게 아니라 시장에서 사라진다는 의미다.

공격자들은 1단계에서 하루 평균 15~20회 정도 훔친 크리덴셜을 사용하는 것으로 조사됐다. 3단계에서는 하루 130번 씩 크리덴셜들이 활용된다. 그러다가 4단계가 되면 하루 28회 정도로 줄어든다. 빈버그는 “크리덴셜 스터핑은 대단히 장기적인 문제”라고 이번 연구의 결론을 내린다. “크리덴셜은 다크웹의 공격자들에게 있어 갖가지로 활용되는 음식 재료와 같습니다. 절대 얕잡아 봐서는 안 되는 위협입니다.”

3줄 요약

1. 크리덴셜 훔쳐낸 공격자들, 4단계에 걸쳐 단물 다 빼먹고 버림.

2. 1단계에서는 은밀한 표적 공격에 활용되다가 3단계부터 아마추어들에게도 풀림.

3. 3단계가 가장 파괴력을 발휘할 때. 4단계에서는 폐기 직전 크리덴셜이 리패키징 됨.

[국제부 문가용 기자(globoan@boannews.com)]

​[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=94980&page=1&mkind=1&kind=1)]​