[인터넷 보안 현황 보고서]

크리덴셜 스터핑:

5권, 미디어 특별판

공격과경제

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판 2

IntroductionAkamai는 2018년 약 300억 건에 달하는 크리덴셜 스터핑 공격을

탐지했습니다. 사람 또는 컴퓨터가 유출되었거나 생성된 사용자 이름과

비밀번호를 이용해 계정에 로그인을 시도한 횟수입니다. 거의 대부분의

공격은 봇넷 또는 올인원(AIO) 애플리케이션을 이용했습니다.

봇넷은 여러가지 명령어로 작업을 하는 컴퓨터 그룹입니다. 이 봇넷은

계정 소유자가 아니더라도 접속할 수 있는 취약한 계정을 찾기 위해

만들어졌습니다. 이런 공격을 계정 탈취(ATO)라고 부릅니다. AIO

애플리케이션은 계정 탈취와 데이터 수집에 활용되는 핵심 툴로,

로그인 또는 ATO 프로세스를 자동화할 수 있습니다.

이는 미디어, 게임, 엔터테인먼트 업계와 매우 밀접한 관련이 있습니다. 이

분야의 기업들은 크리덴셜 스터핑 공격의 1순위 표적입니다. 공격자들은

스트리밍 사이트, 게임, 소셜 미디어 계정이 가치를 갖고 있다는 점을 잘

알고 있고 이러한 계정을 탈취하기 위해 수단과 방법을 가리지 않습니다.

이번 보고서는 앞서 언급한 업계에서 2018년에 발생한 크리덴셜

스터핑 공격에 대해 살펴보고 이 공격으로 인해 발생하는 리스크에 대해

설명합니다. 또한 공격자들이 크리덴셜 스터핑 공격을 진행할 때

사용하는 몇 가지 방법에 대해 자세히 살펴봅니다.

미디어, 게임, 엔터테인먼트

업계는 크리덴셜 스터핑

공격의 1순위 표적입니다.

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판 3

일별 공격 발생 건수Akamai는 2018년 매일 수억 건의 크리덴셜 스터핑 공격을 관측했습니다.

미디어, 엔터테인먼트, 리테일, 게임 분야가 표적이었습니다. 그림 1에

나온 것처럼 2억 5천만 건이 넘는 시도가 발생한 날은 총 3일이었습니다.

범죄자들의 기술적인 역량에 상관 없이 크리덴셜 스터핑 공격은 모든

해커들이 선호하는 공격이 되어가고 있습니다. 이전 인터넷 현황(SOTI)

보고서는 크리덴셜 스터핑 공격이 리테일 업계에 미치는 영향을 조사했고

이번 보고서에서는 미디어 및 엔터테인먼트 업계에 대해 살펴봅니다.

범죄자들은 대표적인 비디오 및 엔터테인먼트 기업을 노리는데 접속 가능한

계정을 블랙마켓에서 판매 또는 거래할 수 있기 때문입니다. 만약 여러분이

음악, 영화, TV 프로그램을 온라인 스트리밍 서비스로 소비한 적이 있다면

범죄자들이 가장 선호하는 몇몇 계정을 이미 알고 계실 것입니다. 이러한

계정에 대한 정보도 공격자들에게는 가치가 있습니다.

0

5천만

1억

1억 5천만

2억

2억 5천만

3억크리덴셜

스터핑

시도

건수

1월 1일 2월 1일 3월 1일 4월 1일 5월 1일 6월 1일 7월 1일 8월 1일 9월 1일 10월 1일 11월 1일 12월 1일 1월 1일

2018

날짜: 2018년 6월 2일로그인 시도 건수:

252,176,323

날짜: 2018년 10월 24일로그인 시도 건수:

285,983,922

날짜: 2018년 10월 27일로그인 시도 건수:287,168,120

일별 크리덴셜 스터핑 시도 건수

2018년 1월 1일~12월 31일

그림 1

2018년에 발생한

가장 큰 규모의 공격

3건이 표시되어

있습니다. 이 중

2건은 며칠 간격을

두고 발생했습니다.

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판 4

1월 1일 2월 1일 3월 1일 4월 1일 5월 1일 6월 1일 7월 1일 8월 1일 9월 1일 10월 1일 11월 1일 12월 1일 1월 1일

2018

0M

2천만

4천만

6천만

8천만

1억

1억 2천만

1억 4천만

1억 6천만

1억 8천만

2억

2억 2천만

인증

정보

도용

시도

건수

업계: 비디오 미디어날짜: 2018년 6월 3일

로그인 시도 건수: 133,861,006

업계

미디어 & 엔터테인먼트

비디오 미디어

업계: 비디오 미디어날짜: 2018년 10월 25일

로그인 시도 건수: 175,981,359

업계: 비디오 미디어날짜: 2018년 10월 27일

로그인 시도 건수: 196,087,155

일별 공격 발생 건수: 미디어 업계

2018년 1월 1일~12월 31일

그림 2

2018년 비디오 미디어

부문에서 발생한 가장

큰 크리덴셜 스터핑 공격

3건을 살펴보면 공격

시도 건수는 1억 3300만

건에서 거의 2억 건으로

크게 증가했습니다.

[인터넷 보안 현황 보고서] 크리덴셜 스터핑 공격과 경제: 5권, 미디어 특별판

최대 규모의 공격 2018년 비디오 미디어 부문에서 발생한 가장 큰 크리덴셜 스터핑 공격 3

건을 살펴보면 공격 시도 건수는 1억 3300만 건에서 거의 2억 건으로 크게

증가했습니다. 중요한 점은 이런 공격이 데이터 유출 사고가 발생한 시기와

일치한다는 것입니다. 범죄자들은 인증정보를 판매 전에 미리 테스트합니다.

2019년 2월 초에 6억 2천만 개의 사용자 이름, 비밀번호, 기타 레코드(데이터

유출을 공개한 16개 조직에서 수집됨)가 다크넷에 매물로 나왔습니다.

크리덴셜 스터핑2019년 초에 신원을 알 수 없는 누군가가 크리덴셜 스터핑 공격에 이용되는

이메일 주소와 비밀번호 컬렉션(이하 ‘release 1-5’)을 공개했습니다.

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판 5

이 5가지 컬렉션의 데이터 규모는 거의 1TB였고 250억 개가 넘는 이메일

주소와 비밀번호 세트가 포함되어 있었습니다. 중복되거나 사용이 불가능한

엔트리를 제외한다 하더라고 현재 보고서를 작성하고 있는 시점을 기준으로

온라인 여러 곳에서 수십억 개의 세트가 존재합니다.

Releases 1-5는 사용자 이름과 비밀번호를 모은 컬렉션입니다. 지금까지

하나의 사건에서 이런 대규모 컬렉션이 유출된 적은 없었습니다. 이런

대규모 컬렉션은 이례적인 일이며 일반적인 규모는 아닙니다. 이런 컬렉션은

대대적인 규모의 유출 사건을 포함해 다른 데이터 유출 사건을 통해 확보한

조합 목록을 취합해 만들어집니다.

크리덴셜 스터핑 공격은 온라인 기업들에게 큰 리스크입니다. 크리덴셜

스터핑 공격을 통해 수익화를 추구하려는 범죄자들에게 10억 개가 넘는

세트는 진입 장벽을 크게 낮춰줍니다. 하지만 범죄자들은 크리덴셜 스터핑

공격을 위해 필요한 데이터를 수집하기 위해 이런 리스트만 사용하지

않습니다.

Akamai 연구원들이 발견한 YouTube 동영상은 유명 온라인 배틀 로얄 게임을

공격할 때 필요한 리스트를 만드는 튜토리얼을 단계별로 소개했습니다.

그림 3

SNIPR은 크리덴셜 스터핑에

사용되는 저렴한 AIO로

20달러에 판매됩니다.

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판 6

이 튜토리얼은 먼저 ‘Google Dorking’의 개념부터 설명합니다.

Google Dorking은 Google의 검색 엔진을 사용해 SQL 인젝션 공격에

취약한 사이트를 찾아냅니다. 그 후에 일반적인 SQL 인젝션 툴을 사용해

이 취약한 도메인을 공격하는 방법으로 넘어갑니다. 이 툴은 이메일

주소와 비밀번호를 다운로드하고 유효한 리스트를 생성합니다. 필요한

경우 비밀번호를 풀기도 합니다. 그런 다음 ‘checker’ 프로그램을 사용해

새롭게 생성된 리스트가 유효한지 프록시를 통해 확인합니다.

공격자들은 checker 프로그램 또는 올인원(AIO) 애플리케이션을

이용해 유출된 또는 생성된 인증정보가 유효한지 확인할 수 있습니다.

애플리케이션에 따라 AIO는 API 또는 로그인 페이지를 직접 공격하기도

합니다. 상황에 따라 2가지를 모두 표적으로 삼을 수도 있습니다.

계정이 유효한 것으로 확인되면 다양한 종류의 개인정보를 판매, 거래, 수집할

수 있습니다. 상황에 따라 이 3가지가 모두 일어나는 경우도 있습니다.

온라인에는 AIO에 대한 점수가 존재합니다. 공개적으로 판매되는 AIO도

있고 암암리에 판매 또는 거래되는 AIO도 있습니다. 그 중 하나는 SNIPR

이라는 애플리케이션은 게임, 소셜 미디어, 스트리밍 미디어를 처음 공격하는

범죄자들이 진입 단계에서 많이 사용하는 툴입니다.

STORM이라는 AIO가 사용하는 자세한 설정 정보는 직접 판매 또는

거래되기도 합니다. 이 보고서가 작성되는 시점에 다크넷의 한 판매자는

대규모 온라인 스트리밍 플랫폼에 사용 가능한 STORM 설정을 52달러에

판매한다고 홍보했습니다.

이 판매자는 동일한 플랫폼에서 사용 가능한 기프트 카드 코드를

할인가에 제공하고 있었는데 30달러인 카드를 겨우 7달러 80센트에 판매

중이었습니다. 범죄자들이 코드를 직접 생성하는 경우도 있지만 대부분은

유출된 신용 카드로 구매합니다. 따라서 코드 판매금액은 범죄자들에게

순이익이 됩니다.

이 판매자는 크리덴셜 스터핑에 사용되는 리스트를 판매하는 비즈니스도

꾸준히 운영하고 있었습니다. 그 중 50억 개의 랜덤 이메일 주소와 비밀번호를

5달러 20센트에 판매하고 있었습니다. 5만개의 이메일 주소와 비밀번호가

포함된 맞춤형 리스트도 동일한 가격에 판매되고 있었습니다. 맞춤형 옵션은

포맷(이메일:비밀번호 또는 사용자:비밀번호), 공급업체, 위치 등을 선택할

수 있습니다.

YouTube의 SNIPR 교육

동영상

Akamai 연구원들은 이번 보고서를 위해 정보와 데이터를 연구하다가 크리덴셜 스터핑 및 관련된 공격을 다루는 YouTube 동영상을 몇 개 발견했습니다. SNIPR로 알려진 AIO에 대한 데모와 튜토리얼을 시청한 사람이 최소 8만9000명이라는 점도 확인했습니다.

여러 SNIPR 버전에 걸쳐 애플리케이션 사용 방법, ROI를 확보하는 방법 등을 설명하는 수십 개의 동영상이 있었습니다. SNIPR은 초급 툴이기 때문에 이러한 튜토리얼은 주로 툴 사용자의 요청을 받은 개발자나 다른 사용자가 만듭니다.

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판 7

경기 호황유출된 미디어 및 엔터테인먼트 계정을 거래하는 시장은 성장하고 있습니다.

유출된 정보와 접속을 거래하고 싶어하는 범죄자들에게 미디어, 게임,

엔터테인먼트 업계는 매력적인 공격 대상입니다. 계정은 대량으로 판매가

이루어집니다. 범죄자들의 목적은 계정을 하나씩 판매하지 않고 대량으로

판매하는 것을 선호합니다.

크리덴셜 스터핑을 통해 탈취한 대부분의 계정은 겨우 3달러 25센트에

판매되고 있습니다. 이런 계정은 워런티(warranty)를 제공합니다. 즉, 판매가

이루어진 후에 인증정보가 유효하지 않은 것으로 확인되면 판매자는 무료로

계정을 바꿔줍니다. 재구매를 촉진하기 위해 제공되는 서비스입니다. 이런

서비스를 제공하는 이유는 기업들이 탈취된 계정을 보다 신속하게 탐지하고

비활성화시키고 있기 때문입니다.

그렇다면 크리덴셜 스터핑 공격이 블랙마켓에서 판매되는 탈취된 계정으로

이어지는 이유는 무엇일까요? 정답은 바로 비밀번호 공유입니다.

크리덴셜 스터핑 시도가 계정 탈취로 이어지는 이유는 사용자들이 여러

웹사이트에 동일한 비밀번호를 사용하기 때문입니다. 또한 쉽게 추측할

수 있는 비밀번호를 생성하기도 합니다.

그림 4

공격 발원 상위 국가:

미국이 크리덴셜 스터핑

공격 발원 국가 1위를

유지하고 있습니다.

공격 발원 국가 ATO HEUR.LOGINS

미국 4,016,181,582

러시아 2,509,810,095

캐나다 1,498,554,065

베트남 626,028,826

인도 625,476,485

브라질 585,805,408

말레이시아 369,345,043

인도네시아 367,090,420

독일 354,489,922

중국 308,827,351

공격 발원 상위 국가

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판 8

따라서 한 웹사이트에서 데이터 유출 사고가 발생하거나 사용자 이름과

비밀번호 컬렉션이 대규모로 공개(release 1-5)되면 한 개인의 모든 디지털

라이프가 노출되는 결과로 이어질 수 있습니다. 이런 상황이 발생하면 모든

개인 정보가 패키지로 묶여 판매될 수 있습니다.

크리덴셜 스터핑 공격 발원 국가 1위는 예상대로 미국입니다. 일반적인

크리덴셜 스터핑 툴의 대부분이 미국에서 개발되기 때문입니다. 러시아가

2위, 캐나다가 3위입니다. 미국은 공격을 가장 많이 받는 국가이기도

합니다. 범죄자들이 표적으로 삼는 기업들이 가장 많이 위치해 있는

곳이기 때문입니다.

인도와 캐나다가 근소한 차이를 보이며 2위, 3위에 올랐지만 모두 미국과는

큰 격차를 보입니다.

그림 5

상위 공격 대상 국가:

미국이 크리덴셜 스터핑

공격 대상 국가 1위를

유지하고 있습니다.

공격 대상 국가 ATO HEUR.LOGINS

미국 12,522,943,520

인도 1,208,749,669

캐나다 1,025,445,535

독일 760,722,969

호주 104,655,154

대한민국 37,112,529

중국 26,173,541

지브롤터 6,559,360

네덜란드 4,991,790

일본 3,424,334

이탈리아 2,601,632

프랑스 1,864,733

홍콩 1,305,262

상위 공격 대상 국가

" 미국이 공격 대상 국가 1위입니다."

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판 9

향후 전망크리덴셜 스터핑 공격은 기업에게 광범위한 영향을 끼칩니다. 올해 초에

익명으로 유포된 인증정보 리스트는 빙산의 일각에 불과합니다. 크리덴셜

스터핑 공격이 성공하면 기업은 자신의 잘못이 아닌 경우에도 평판에 타격을

입게 됩니다. 또한, 사고 대응, 인건비, 위기 관리 커뮤니케이션, 기타 관련

비용이 발생하면서 운영비가 증가하게 됩니다.

2019년 2월에는 잘 알려진 온라인 세금 서비스 제공업체가 일부 고객에게

데이터 유출 사고에 대해 통보했습니다. 유출된 모든 계정은 다른 곳에서

발생한 데이터 유출 사고 때 노출된 비밀번호를 사용하고 있었습니다. 따라서

통보문에 크리덴셜 스터핑 공격이 원인이었다고 명확하게 설명했습니다.

이 세금 서비스 제공업체는 추가적인 접속을 방지하기 위해 비밀번호를

재설정하고 고객에게 주의를 당부했습니다. 이 사건은 세금 서비스

제공업체의 잘못이 아니었음에도 불구하고 고객들은 다르게 느꼈습니다.

뉴스를 접한 대중들의 반응 역시 부정적이었습니다.

크리덴셜 스터핑 공격을 탐지하고 방어할 수 있는 확실한 방법은 우수한

솔루션 제공업체와 파트너십을 체결하는 것입니다. 하지만 크리덴셜 스터핑

위협을 방어하는 것은 쉽지 않습니다. 범죄자들은 기존의 설정과 기본 보안

기능을 우회하기 위해 공격 기법을 조정합니다. 따라서 기업에 맞는 맞춤형

방어 솔루션을 구축해야 합니다.

단일 벤더사 또는 한 두가지 제품은 이 문제를 해결하기에 역부족입니다.

계정 정보를 위험에 빠뜨리는 리스크, 피싱, 크리덴셜 스터핑 공격에 대한

사용자 인식을 제공할 필요가 있습니다. 기업은 고객들에게 어려운 비밀번호

사용과 비밀번호 관리 프로그램 사용을 적극 장려하고 멀티팩터인증(MFA)

의 중요성을 인식시켜야 합니다. ATO와 AIO 스크립트에 관해 얘기할 때

범죄자들은 MFA에 대해 자주 불만을 토로합니다. 이는 MFA가 대부분의

공격을 차단할 수 있는 효과적인 방법이라는 것을 의미합니다.

이러한 솔루션을 지속적으로 강화하는 방법은 금융사와 게임사에게 효과적인

것으로 나타났습니다.

" 크리덴셜 스터핑 공격이 성공하면 기업은 자신의 잘못이 아닌 경우에도 평판에 타격을 입게 됩니다.”

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판 10

방법론이 보고서에서 크리덴셜 스터핑 시도는 이메일 주소를 사용자 이름으로

사용하는 계정에 대한 로그인 시도 실패로 정의됩니다. 인증정보 도용 시도와

실제 사용자를 구분하기 위해 2가지 알고리즘을 사용합니다. 첫 번째는

특정 주소에 대한 로그인 오류 횟수를 계산하는 단순한 정량적 룰입니다. 이

알고리즘은 1곳의 기업이 탐지할 수 있는 것과 다릅니다. Akamai는 수백 곳의

고객사에 걸쳐 데이터를 취합하고 연관성을 발견하기 때문입니다.

두 번째 알고리즘은 Akamai 봇 탐지 서비스의 데이터를 사용합니다. 이 봇

탐지 서비스는 알려진 봇넷과 툴에서 발생하는 크리덴셜 스터핑 공격을

탐지합니다. 잘 구성된 봇넷은 여러 가지 방법을 통해 정량 탐지를 우회할

수 있습니다. 예를 들어, 여러 공격 대상에 걸쳐 트래픽을 분산하고 대규모

시스템을 사용해 스캔하며 시간에 따라 트래픽을 분산합니다.

다양한 웹 검색과 인텔리전스를 기반으로 크리덴셜 스터핑 봇넷이 사용하는

툴과 기법에 대해 연구를 진행했습니다.

[인터넷 보안 현황 보고서] 크리덴셜 스터핑: 공격과 경제 5권, 미디어 특별판 11

저자 소개

인터넷 보안 현황 보고서

셰인 키츠(Shane Keats), 글로벌 산업 마케팅·미디어·엔터테인먼트 담당 디렉터 - YouTube 연구

스티브 레이건(Steve Ragan), 수석 테크니컬 라이터 겸 연구원 - 다크넷 시장 연구

마틴 맥키(Martin McKeay), 편집 책임자 - 크리덴셜 스터핑 공격 데이터 및 분석

편집부

마틴 맥키(Martin McKeay), 편집 책임자

아만다 파크레딘(Amanda Fakhreddine), 수석 테크니컬 라이터, 관리 편집자

스티브 레이건(Steve Ragan), 수석 테크니컬 라이터, 편집자

프로그램 관리

조지나 모랠 햄프(Georgina Morales Hampe), 프로젝트 매니저 - 크리에이티브

무라리 베누쿠마(Murali Venukumar), 프로그램 매니저 - 마케팅

Akamai는 전 세계 주요 기업들에게 안전하고 쾌적한 디지털 경험을 제공합니다. Akamai의 Intelligent Edge Platform은 기업과 클라우드 등 모든 곳으로 확장하고 있고 고객의 비즈니스가 빠르고, 스마트하며, 안전하게 운영될 수 있도록 지원합니다. 대표적인 글로벌 기업들은 Akamai 솔루션을 통해 멀티 클라우드 아키텍처를 강화하고 경쟁 우위를 확보하고 있습니다. Akamai는 가장 가까운 곳에서 사용자에게 의사 결정, 앱, 경험을 제공하고 공격과 위협을 먼 곳에서 차단합니다. Akamai 포트폴리오는 엣지 보안, 웹∙모바일 성능, 엔터프라이즈 접속, 비디오 전송 솔루션으로 구성되어 있고 우수한 고객 서비스, 애널리틱스, 24시간 연중무휴 모니터링 서비스를 제공합니다. 대표적인 기업과 기관에서 Akamai를 신뢰하는 이유를 알아보려면 Akamai 홈페이지(www.akamai.com) 또는 블로그(blogs.akamai.com)를 방문하거나 Twitter에서 @Akamai를 팔로우하시기 바랍니다. 전 세계 Akamai 연락처 정보는 www.akamai.com/locations에서 확인할 수 있습니다. Akamai 코리아는 서울시 강남구 강남대로 382 메리츠타워 21층에 위치해 있으며 대표전화는 02-2193-7200입니다. 2019년 4월 발행.