통합검색
'' 검색결과는 총 125 건 입니다.
[Special Report] 웹 취약점과 해킹 매커니즘 #4 Error Based SQL Injection
■개요SQL Injection은 사용자 입력값을 검증하지 않는 경우 설계된 쿼리문에 의도하지 않은 쿼리를 임의로 삽입할 수 있는 공격이다. 공격자는 쿼리를 악의적으로 주입하여 데이터베이스의 데이터를 무단으로 탈취할 수 있다.이번 Special Report에서는 Error Based SQL Injection의 개념을 설명하고 실습을 진행한다. SQL Injection 취약점이 존재하는 로그인 페이지에서 특정 에러를 유발하고 에러메시지로부터 데이터를 추출하는 내용을 다룬다.※ 실제 운영 중인 서버에 테스트 또는 공격을 하는 행위는 법적인 책임이 따르므로 개인용 테스트 서버 구축 또는 bWAPP, DVWA, WebGoat 등과 같은 웹 취약점 테스트 환경 구축을 통해 테스트하는 것을 권장한다.※ 본 Special Report는 JSP와 Oracle Database 11gR2를 사용하여 취약한 서버를 구축하였다.■Error Based SQL Injection특정 함수를 이용한 에러 발생 시 데이터베이스의 정보가 노출된다는 점을 악용하여 공격자가 원하는 데이터를 추출하는 공격 방법이다. 아래의 그림은 SQL구문 에러 발생 시 출력되는 화면으로, 반환되는 에러 메시지를 통해 해당 페이지가 사용하고 있는 데이터베이스에 대한 정보를 확인할 수 있다.특히 CTXSYS.DRITHSX.SN와 같이 Error Based SQL Injection에 취약한 함수 사용이 가능할 경우 공격자는 에러 메시지로부터 데이터베이스의 정보를 탈취할 수 있다.[에러 메시지 창]■공격 진행 과정Error Based SQL Injection의 공격 진행 과정은 다음과 같다.[Error Based SQL Injection 진행 과정]Step 1. 취약점 존재 여부 확인사용자 입력 값을 받아 로그인 하는 페이지에서 SQL Injection 취약점 존재 여부를 확인한다. SQL구문에서 문법적 요소로 작용하는 싱글쿼터(') 등과 같은 특수문자를 입력하여 로그인 했을 때 서버의 반응을 보고 취약점 존재 여부를 판단할 수 있다.Step 2. Error Based SQL InjectionSQL구문 에러를 발생 시 반환되는 정보를 통해 데이터베이스의 테이블/컬럼/데이터의 개수와 이름을 확인하는 과정을 반복하여 원하는 데이터를 추출할 수 있다.2-1) 테이블 정보 확인원하는 데이터를 추출하기 위해 전체 테이블의 개수를 확인해야 한다. 실습에서는 user_tables를 통해 사용자가 생성한 전체 테이블 수를 확인한다.테이블의 개수를 확인한 후 원하는 테이블을 찾을 때까지 행 번호를 증가시켜가며 테이블 이름을 추출한다.2-2) 컬럼 정보 확인원하는 테이블의 컬럼 정보를 확인하기 위해 앞서 획득한 'MEMBER' 테이블의 전체 컬럼 수를 추출한다.전체 컬럼 수 확인 후 원하는 컬럼을 찾을 때까지 행 번호를 증가시켜가며 컬럼 명을 확인한다.Step 3. 원하는 데이터 탈취이처럼 SQL에 관련된 에러 처리가 미흡할 경우 전체 테이블/컬럼/데이터의 개수를 확인하여 원하는 데이터를 1개씩 추출하여 데이터베이스의 모든 데이터 추출이 가능하다.■보안 대책SQL Injection의 보안 대책은 크게 2가지가 있다.-Prepared Statement[1]: SQL Injection의 근본적인 해결책이지만, 문법적/비즈니스 로직 상 사용이 불가한 로직이 있으며 서버가 운영 중일 경우 소스코드 수정이 어려울 수 있다.[1] Prepared Statement는 컴파일이 미리 되어있기 때문에 입력값을 변수로 선언해두고 필요에 따라 값을 대입하여 처리한다.-Filtering: White List Filter 방식을 적용해 허용할 문자열을 지정하는 것이 좋다. 상황에 따라 Black List Filter 방식을 적용해야 한다면, 공격 기법에 사용될 수 있는 예약어 및 특수 문자를 모두 Filtering 해야 한다.※ 문자열 Filtering 시 대소문자 모두 Filtering 하는 것이 좋다.※ Error Based SQL Injection의 경우 공격자에게 정보를 제공할 수 있는 에러 메시지가 아닌 사전에 정의된 에러 페이지를 반환하도록 대체해야 하며, 개발자의 디버깅용 에러 메시지 창은 실제 소스코드에서 제거하여 시스템 내부 정보가 노출되지 않도록 유의해야 한다.보안 대책에 대한 우회기법 및 시큐어코딩 적용 등에 대한 자세한 내용은 SQL Injection 마지막 챕터에서 이어진다.■맺음말지금까지 Error Based SQL Injection에 대해 알아보았다. SQL구문 에러 유발 후 반환되는 에러 메시지를 통해 테이블/컬럼/데이터를 1개씩 추출하는 것을 반복하여 전체 데이터를 추출할 수 있는 공격이다. SQL Injection 취약점을 제거하는 것이 우선이며, 사전에 정의된 에러 페이지 창으로 대체하여 정보를 획득할 수 있는 에러 메시지가 반환되지 않도록 하는 것이 중요하다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
최근 딥페이크를 이용한 사회공학적 공격(Social Engineering Attack)[1]이 증가하는 추세다. 딥페이크는 딥러닝(Deep learning)[2]과 가짜(fake)의 합성어이며, 딥러닝을 기반으로 실제 같은 가상 정보를 만들어낼 수 있는 기술이다. 공격자들은 이러한 딥페이크를 이용하여 사회공학적 공격을 더 정교하게 발전시키고 있어 관심과 주의가 필요하다.[1] 사람의 심리와 관련된 보안 취약점을 타깃으로 하는 공격 기법[2] 머신러닝의 한 종류로, 컴퓨터가 대규모 데이터에서 중요한 패턴을 스스로 학습하는 모델현재 다양한 딥러닝 오픈소스가 인터넷상에 공개되어 누구나 딥페이크 기술을 이용할 수 있는 상태이며, 다크웹에서도 사회공학적 공격을 위한 딥페이크 도구가 활발하게 공유되고 있는 상황이다. 딥페이크는 인공지능(AI) 기술이 발전할수록 더 정교해지고 현실적인 결과물을 만들어 내기 때문에 이를 이용한 보안 위협은 앞으로도 증가할 전망이다. 이번 헤드라인에서는 딥페이크 기술 악용으로 인해 발생할 수 있는 보안 위협에 대해 알아보고자 한다.BEC(Business Email Compromise) 공격최근 크립토윈터(Crypto Winter)[3]와 가상자산 관련 규제 강화로 랜섬웨어 공격 조직의 수익이 감소하고 자금 세탁에 어려움을 겪고 있는 상황이다. 이에 랜섬웨어 공격 조직들은 랜섬웨어에 제한되지 않은 다른 방식의 공격 기법을 병행하려는 움직임을 보이고 있다.[3] 가상자산 시장 침체기, 자금이 빠져나가며 거래량이 장기간 저조해지는 현상랜섬웨어 공격 조직의 다음 공격 수단으로 전망되는 공격은 BEC(Business Email Compromise)다. BEC는 비즈니스 이메일, 업무 전화, 화상회의에서 특정 대상을 사칭하여 금전을 탈취하는 사회공학적 공격이다. 예를 들어 특정 기업의 주요 거래처 직원을 사칭하여 전화나 이메일로 거래 계좌가 변경되었다며 속이고 거래대금을 가로채는 것이다.BEC공격 역시 사회공학적 공격이기 때문에 딥페이크 기술을 적극적으로 활용하고 있다. 대상을 속이기 위한 이미지, 영상, 음성에 딥페이크가 사용되면 피해자는 사칭 여부를 판별하기가 매우 어려워진다.올해 2월 미국 FBI는 최근 들어 화상회의 플랫폼에서 CEO를 사칭하고 자금 이체를 요청하는 방식의 BEC 공격이 증가하고 있다고 경고했다. 공격자는 사전에 SNS, 영상, 오디오 등에서 데이터를 수집하여 딥러닝 인공지능을 통해 대상의 목소리를 학습하고, 위조된 이메일로 기업 화상회의에 참여하여 자금 이체를 지시하는 식으로 금전적 이득을 취했다.BEC는 기술적 취약점이 아닌 사람의 심리를 속이는 사회공학적 공격이기 때문에 내부 직원의 보안 교육 외에는 명확한 방어책이 없다. 보안 교육과 함께 사회공학적 공격에 대한 사기 범죄에 대응 훈련을 병행하고, 이메일과 전화로 받는 요청을 이중으로 확인하는 프로세스를 만들어야 BEC로 인한 피해를 최소화할 수 있다.온라인 취업 사기최근 미국에서는 딥페이크가 온라인 취업 사기에 악용되어 이슈가 되고 있다. 딥페이크 기술을 이용하면 타인의 얼굴이나 음성을 영상에 실시간으로 합성할 수 있기 때문에 공격자는 온라인 면접에서 위장된 신분으로 채용 담당자를 속일 수 있다.실제로 북한의 IT 인력들이 온라인 면접에서 딥페이크를 사용하여 거짓 신분으로 미국 기업과 기관에 취업을 시도하다 적발된 사례가 있다. 이에 FBI는 해커들이 유출된 개인 정보와 딥페이크를 이용해 면접을 응시하는 경우가 증가하고 있다며 주의를 당부하기도 했다. 해커들은 주로 개인 정보관리, 재무담당, 사내 IT 인프라 관리자와 같이 기업의 주요 정보에 쉽게 접근할 수 있는 직무를 지원했다. 취업에 성공하는 경우, 해커는 곧바로 기업의 주요 정보 접근 권한을 갖게 되는 것이다.미국의 경우 팬데믹으로 인해 대부분의 채용 절차를 비대면으로 진행하고, 원격 근무가 도입된 기업이 많기 때문에 이러한 온라인 취업 사기가 활개칠 수 있었다. 국내의 경우 아직 온라인 취업 사기 사례는 보고되지 않았으나, 취업 면접을 비롯하여 금융, 의료, 보험 등의 서비스가 비대면으로 전환되고 있는 추세이기 때문에 딥페이크를 이용한 공격에 노출될 가능성이 증가하고 있다. 특히 보험산업 분야의 경우 딥페이크로 인한 보험 사기가 증가할 것을 우려하여 이에 대한 법안 마련과 기술적, 사회적 조치 대응 마련을 촉구하고 있는 상황이다.생체 인증 우회딥페이크는 공격자가 생체 인증을 우회하는 방법으로 사용될 수 있다. 외모나 목소리는 개인의 고유한 특성이기 때문에 개인을 식별할 수 있는 수단 중 하나로 쓰인다. 예를 들어 사람마다 발음, 억양, 속도, 성대 특성, 비강 구조가 다르기 때문에 목소리를 분석해 개인을 구분하고 특정할 수 있다. 하지만 딥페이크 기술을 악용할 경우 이러한 특성들을 쉽게 모방할 수 있다. 이와 같은 딥페이크 기반 신원 사기는 주로 금융, 보험 관련 사기에 악용된다.생체 인증 우회는 PAD(Presentation Attack Detection) 기술이 적용된 인증 시스템을 사용하면 어느 정도 방어가 가능하다. PAD는 머신러닝을 이용하여 영상 속의 사람이 실제 사람인지, 또는 딥페이크 소프트웨어를 사용하고 있는지 탐지한다. 딥페이크로 생성된 영상 정보는 기존 영상에서 볼 수 없는 특징을 가지고 있기 때문에 이러한 점을 이용하여 진위 여부를 판별할 수 있다. 영상 속 사람이 움직일 때 부자연스러운 영상 처리, 깜빡이지 않는 눈, 제대로 생성되지 않은 눈 또는 치아 등의 변수를 통해 딥페이크를 구분하는 것이다.마치며현재의 딥페이크 기술은 눈으로 보았을 때 이상한 점을 느낄 수 있는 정도로 아직 완성되지 않은 기술이다. 하지만 인공지능 기술이 발전함에 따라 점차 정교해지고 현실과 구분하기 어려워지고 있다. 딥페이크 기술이 정교해질 수록 온라인 취업 사기, BEC(Business Email Compromise) 등의 사회공학적 공격이 심각한 사회적 문제로 떠오를 것이다. 또한 딥페이크는 누구나 사용할 수 있도록 오픈소스로 공개된 기술이기 때문에 이에 대한 심각성을 인지하고 보안 대책을 마련할 필요가 있다.참고문헌https://www.boannews.com/media/view.asp?idx=108013https://www.boannews.com/media/view.asp?idx=107306https://www.shrm.org/resourcesandtools/hr-topics/global-hr/pages/inadvertently-hiring-it-workers-from-north-korea.aspxhttps://www.cio.de/a/wie-hacker-mit-machine-learning-angreifenhttps://www.ic3.gov/Media/Y2022/PSA220216이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
끊임없는 스팸문자, 차단부터 신고, 예방까지! 스팸문자 근절 팁 정리
각종 광고부터 주식 관련 정보까지. 하루에도 몇 번씩 오는 스팸문자로 피로도 높으신 분들 많을 텐데요. 스팸문자의 경우 보이스 피싱에도 악용될 수 있는 만큼 주의가 필요하다는 사실, 알고 계셨나요? 나도 모르는 사이에 내 번호가 범죄에 사용될 수 있는 만큼 대책이 필요한 상황인데요. 스팸문자 수신 거부 방법부터 신고 및 예방법까지! 바로 확인해 보겠습니다.1/ 스팸문자, 간단하게 수신 거부하는 방법우리는 흔히 ‘080으로 시작하는 번호는 광고인 경우가 많아’라고 짐작하곤 하는데요. 사실입니다. 우리나라의 경우, 정보통신망법 제50조에 따라 광고 및 스팸문자는 반드시 ‘080’으로 시작하는 번호를 사용해야 합니다. 따라서 각종 스팸 차단 서비스를 이용할 경우, 080으로 오는 문자를 1차적으로 차단할 수 있죠.그런데 간혹 080이 아닌, 일반 핸드폰 번호로 광고성 스팸문자를 보내는 경우도 있습니다. 이때는 해당 번호 자체를 차단하면 됩니다. 스마트폰 기종이 갤럭시라면 기본 문자 메시지 앱에서 문자를 꾹 누르는 방식으로 간편하게 ‘수신 차단’을 할 수 있고, 아이폰의 경우 스팸문자를 보낸 사람의 프로필을 누르고 ‘정보’로 들어가서 차단 설정을 할 수 있습니다..2/ 차단했는데도 계속 스팸문자가 발송된다면?만약 스팸문자 차단 혹은 수신거부를 등록했는데도 계속 스팸 문자를 보낸다면, 관련 기관에 신고하는 것이 좋은데요. 국내 스팸 신고 접수 기관으로는 한국인터넷진흥원 소속 불법스팸대응센터(118)가 대표적입니다.핸드폰이 갤럭시일 경우, 앞서 차단한 방법과 동일하게 스팸 문자를 꾹 누른 뒤 나오는 여러 항목 중 ‘스팸 번호로 신고’를 누르면 불법스팸대응센터에 접수가 진행됩니다. 갤럭시 사용자가 아니라면 불법스팸대응센터 웹사이트에서 스팸 신고를 하면 됩니다. 신고 후 처리 결과 확인까지는 약 1개월 정도가 소요됩니다.3/ 스팸문자 예방을 위한 모바일 생활습관 3가지!스팸문자는 누구에게나 쉽게 배포되는 만큼, 예방하는 방법도 의외로 간편합니다. 일단, 앞서 설명한 스팸 및 광고문자에 대한 수신거부, 차단을 그때그때 하는 것이 좋으며, 이동통신 3사에서 제공하는 무료 스팸 차단 서비스를 부가서비스로 이용하는 것도 추천드립니다. 그리고 마지막으로, 스마트폰 보안을 위해 모바일 백신 앱을 설치하는 것도 방법인데요. SK쉴더스의 ‘모바일가드’가 최근 인기입니다. 핸드폰에 있는 소중한 정보를 지켜주는 모바일 백신 앱으로, 스미싱과 수신 문자 내 URL, 악성 앱 등을 실시간으로 모니터링하며 보안 위협에서 지켜주기 때문입니다.지금까지 스팸문자 차단부터 신고, 예방법까지 일상 속 스팸문자에서 벗어날 수 있는 꿀팁을 정리해 봤는데요. 우리 모두 스팸 신고와 수신 거부를 생활화해 적극적으로 대처한다면 스팸으로부터 안녕한 생활을 할 수 있을 것입니다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
21년도부터 가상자산을 노리는 공격 시도가 꾸준히 증가하고 있다. 특히 22 년도부터 탈중앙화 금융(DeFi) 시스템의 사용자가 늘어났고, 가상자산을 이용한 거래가 더욱 활발해지면서 공격자의 주표적이 되고 있다. 이에 따라 금융 업종 침해사고가 큰 비중을 차지하는 것을 볼 수 있다. 국내에서는 제조 업종의 침해사고가 가장 많이 발생했으며, 특히 해킹 그룹 랩서스가 국내 최대제조사인 S 社, L 社의 핵심 중요 정보를 탈취하는데 성공하여 큰 이슈가 되었다. 국외에서는 러∙우 전쟁으로 인해 기반 시설을 노린 사이버 공격이 대대적으로 이루어져 공공/정부 침해사고가 높은 비중을 차지했다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
PDF 보안 침해 사례가 늘어난다! 피싱 사례부터 그림자 공격, 예방법까지 알아보기
프로그램 및 운영 체제 간 호환성 문제없이 문서의 자유로운 교환과 웹 배포를 위해 전 세계 표준으로 개발된 PDF. 파일 열기부터 인쇄, 복사, 편집 등에 제한을 걸 수 있어 기업 및 공공기관에서 인기인데요. 최근 보안이 뛰어나다고 알려져 있는 PDF의 보안 침해 사례가 발생하고 있어 주의가 필요합니다. PDF와 관련된 피싱 실제 사례부터 서명 기능을 악용한 공격, 그리고 예방법까지 함께 알아보겠습니다.1/ 파일만 열었는데 내 정보가 유출됐다?! PDF 보안을 위협하는 피싱 사례이메일에 첨부된 PDF파일을 통한 피싱은 가장 고전적이면서도 당하기 쉽습니다. 실제로 지난 2020년에는 공정거래위원회를 사칭한 악성코드 피싱 메일이 유포된 사례도 있었습니다. ‘김 OO 사무관’이라는 가짜 이름으로 ‘[공정거래위원회] 전자상거래 위반행위 조사통지서’라는 제목과 ‘전산 및 비전산자료 보존 요청서.zip’ 압축파일이 첨부되어 있었는데요. 압축을 풀면 PDF파일과 한글 문서파일로 위장된 악성코드 실행파일(.exe)이 나오고, 둘 중 하나라도 실행하면 암호화폐 지갑 정보, 메신저 계정 정보, 인터넷 브라우저 정보 등이 유출되었습니다..월급명세서와 같은 PDF 보안 문서의 암호 입력 순간을 노린 피싱도 있습니다. 암호 해제 및 확인이라는 미명 하에 특정 웹사이트로 접속을 유도한 것인데요. 해당 사이트로 연결되면 악성코드에 곧바로 감염되거나, 암호 확인을 위해 개인 정보를 입력할 때 정보가 유출되었습니다. 캡차(CAPTCHA) 화면이 있는 피싱 PDF 파일 유포 사례도 있었는데요. PDF 파일을 열면 암호 입력 화면처럼 문서 열람을 위한 캡차가 보이지만, 이미지에 악성코드 사이트로 연결되는 링크가 걸려 있는 피싱이었습니다.2/ 중요한 PDF 문서에 서명할 때 조작될 수 있다?! 그림자 공격 알아보기최근 공공기관과 기업에서는 계약서 같은 중요 문서를 PDF 포맷으로 검토한 뒤, 최종 확인 절차로 서명을 진행하는 경우가 많아졌는데요. 이를 조작하는 공격 방법도 등장했습니다. ‘그림자 공격’ 혹은 ‘셰도우 어택스(Shadow Attacks)’라고 불리는 이 공격은 중요 PDF 문서를 변조한 뒤, 조작된 내용에 서명을 유도하는데요. 그림자 공격의 유형은 크게 ‘숨기기’, ‘교체하기’가 있습니다..‘숨기기’는 이름처럼 PDF의 일부 내용을 숨기는 것입니다. 공격자는 본인의 진짜 의도가 담긴 내용을 숨긴 채 서명자에게 PDF 문서를 보내는데요. 서명자에게는 해당 문서가 정상적으로 보이기 때문에 서명을 하게 되고 서명된 문서는 다시 공격자에게 전송되어 조작된 문서로 재탄생하게 됩니다..‘교체하기’는 문서의 ‘형태’에 영향을 줄 수 있는 객체를 서명된 PDF 문서에 첨부하는 공격입니다. 예를 들어, 폰트 규정과 관련된 객체를 첨부하면 내용 자체의 변경이 아닌, 콘텐츠가 화면에 출력되는 방식에 영향을 줄 수 있는 것인데요. 일부 글자들이 다른 문자나 기호로 바뀌어 결과적으로 문서가 조작되게 됩니다.3/ 가만히 당할 수만은 없다! PDF 해킹 공격 예방법그렇다면 PDF 보안을 유지하고 각종 공격의 피해를 최소화할 수 있는 방법에는 무엇이 있을까요? 우선, 다양한 종류의 PDF 편집기 및 열람기를 사용하는 것이 좋습니다. 이용자가 많은 PDF 프로그램의 경우, 공격 대상인 경우가 많은데요. 타사 프로그램 취약점과 동일하지 않아 다양한 프로그램을 사용하는 것이 PDF 보안에 도움이 될 수 있습니다..현재 사용 중인 PDF 프로그램의 버전과 보안 패치가 최신 상태인지도 꼭 확인해야 하며, 윈도우 등 운영체제의 보안 패치도 최신으로 유지해야 합니다. 프로그램 및 운영체제 개발자는 버그나 취약점을 발견했을 때 이를 해결하기 위해 업데이트를 진행하기 때문에 보안을 위해 최신 업데이트 상태 유지는 보안에 필수적입니다. 의심스러운 PDF 파일은 악성코드 및 바이러스 백신 프로그램으로 검사하고, 내용에 문제가 있는 것 같으면 바로 해당 담당자에게 연락을 취해 확인해야 합니다...지금까지 PDF 피싱 사례부터, 유형, PDF 보안을 위한 방법까지 알아보았습니다. 우리가 안전하다고 생각했던 PDF도 해킹 등 사이버 범죄에 노출되고 있는데요. 공공기관 및 기업의 체계적인 보안 대책 마련과 우리 모두의 보안 의식 함양이 중요합니다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
올해 상반기에는 작년에 이어 서비스형 랜섬웨어1인 RaaS(Ransomware-as-a-Service)가 지속적으로 발생했고, 가상자산을 타깃으로 한 해킹 사례가 주를 이루었다. 1월에는 Log4j와 관련된 취약점이 추가로 공개되었다. 작년 12월 자바 로깅 라이브러리인 Log4j에서 강한 파급력을 가진 취약점이 발견된 이후, 관련 취약점이 꾸준히 제보되고 있다. 4 월에는 전세계적으로 이용되는 Spring Framework 에서 Spring4Shell 이라는 별칭을 가진 고위험도 제로데이가 연달아 발견되면서 국내외에서 큰 이슈가 되었다.또한, 유출된 개인정보를 이용하여 통신사를 속이고 피해자의 USIM 을 발급하여 가상자산을 빼돌린 심스와핑(SIM Swapping) 사건이 국내 최초로 발생했다. 다수 사람들이 공격을 받았으며 주로 가상자산을 탈취당하는 피해를 입은 것으로 밝혀졌다. 2 월에는 국내 최대 DeFi(Decentralized Finance) 서비스인 KLAYswap 2 에서 해킹이 발생했다. 공격자는 BGP Hijacking 3 기법을 통해 네트워크 흐름을 조작하여 정상 SDK 파일로 위장한 악성코드를 다운로드하게 하였다. 악성코드가 설치된 피해자가 거래를 이용할 시 공격자의 가상자산 지갑으로 자산이 전송되는 형태로 공격이 이루어졌으며, 이로 인해 발생한 피해액은 22 억 원 규모에 달했다.또한, BlackCat 랜섬웨어 그룹은 12 명의 피해자에게 총 1,400 만 달러를 요구하였고 비용을 지불하지 않을 시 DDoS 공격을 수행할 것이라고 협박했다. BlackCat 랜섬웨어 그룹은 기존에는 사용되지 않던 러스트(Rust) 언어를 사용하여 랜섬웨어를 제작하고 이를 공격에 사용하고 있다. 러스트로 제작된 랜섬웨어는 리눅스와 윈도우 시스템에서 모두 실행될 수 있어 범용성이 뛰어나고 많이 알려지지 않은 언어이기에 보안 시스템 우회에 용이하며, 리버스 엔지니어링을 이용한 분석에 어려움을 주고 있다. 3월에는 러시아가 우크라이나를 침공하면서, 위성 통신망 해킹 및 사회기반시설에 대한 공격을 시도하였고 이로 인해 인터넷이 연결되지 않거나, 전기가 공급되지 않는 등의 피해를 입었다는 보도가 이어졌다. 이제는 사이버 보안이 국가 안보에 필수적인 요소이며 사이버 공격에 대한 대비의 중요성을 강조하는 직접적인 사례가 되었다.또한, 남미의 해킹 그룹 랩서스가 국내외 대기업을 노린 공격이 포착되었다. 국내 S 社에서 190GB 의 소스코드가 유출되었으며, L 社에서 임직원 이메일 계정 정보가 탈취되었다. 국외의 그래픽 제조업체 N 社를 대상으로 회로도, 펌웨어 등 중요정보가 포함된 1TB 의 데이터가 탈취되기도 했다. 랩서스는 다크웹을 통해 임직원의 계정을 구매하거나 악성 메일을 통해 계정 정보를 획득한 뒤 내부 시스템에 침투하여 내부 정보를 탈취한 것으로 확인되었다.4월에는 현역 장교가 4,800 만 원가량의 가상자산을 받고 북한 해커에게 군 기밀정보 유출을 시도한 정황이 발견되었다. 기존의 해커가 악성코드를 이용하여 해킹을 시도한 것과 달리 군 현역 장교를 직접 포섭하였고, 디스코드, 텔레그램과 같은 암호화 채널을 이용하여 더욱 은밀하게 포섭을 시도할 수 있었던 것으로 보인다.또한, 북한 소속 해킹 부대인 '라자루스'가 블록체인 기반 온라인 게임 엑시 인피니티를 해킹하여 7,700 억 원 규모의 가상화폐를 탈취했다. 엑시 인피니티는 자체 제작한 로닌 네트워크를 사용하여 이더리움 기반으로 거래를 진행하는데, 로닌 네트워크에 존재하는 취약점을 이용하여 가상화폐를 탈취했다. 미 국무부는 탈취한 7,700 억 원 중 1,100 억 원가량이 라자루스가 소유한 가상자산 지갑으로 이동했음을 확인했다고 전했다.금전을 요구하는 협박 메시지의 이메일 주소가 이전에 사용되었던 이메일 주소와 동일하거나 유사한 점을 근거로 북한 당국과의 연관성이 드러났다고 지적했다. 또한, 캐나다 민간 군사 업체(Top Aces 社)가 LockBit2.0 랜섬웨어 그룹에게 공격당해 44GB 의 데이터를 유출 당했고 몸값을 지불하지 않을 시 데이터를 공개할 것이라고 협박을 당했다.1. 서비스형 랜섬웨어: 개발자가 랜섬웨어를 제작하여 판매하고, 공격자는 이를 구매하여 유포하는 형태로 공격에 성공할 경우 수익을 나눠가지는 구조 2. KLAYswap: 국내 K 社의 블록체인 플랫폼 클레이튼(Klaytn)을 기반으로 한 DeFi 서비스 3. BGP hijacking: BGP 라우터에 침투하여 지속적인 브로드 캐스트를 통해 라우팅 테이블 정보를 조작이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
구글 플레이 프로텍트부터 스마트한 보안 앱까지, 쉽고 간단한 안드로이드 보안 꿀팁!
스마트폰 운영체제(OS) 중 개방성과 호환성이 높고 사용자 수도 가장 많은 안드로이드. 사용하기 편리하다는 장점이 있지만, 타 운영체제와 비교해 다양한 위험에 노출될 수 있다는 단점도 있는데요. 구글 플레이 프로텍트부터 업데이트 설정 방법, 보안 앱까지! 간편하면서도 확실하게 안드로이드 보안을 강화할 수 있는 방법에 대해 알아보겠습니다.| 1/ 다운로드부터 실행까지 ‘구글 플레이 프로텍트’로 앱 관리를 확실하게!안드로이드 운영체제는 대부분의 앱 다운로드를 ‘구글 플레이’에서 진행합니다. 구글은 자체 보안 기능으로 ‘구글 플레이 프로텍트’를 제공하고 있는데요. 이 기능을 활성화하면 구글 플레이에서 앱을 받을 때마다 해당 앱의 안전성을 미리 검사할 수 있고, 이미 설치되어 있는 앱이나 구글 플레이 외 다른 경로로 설치된 앱의 유해성 여부도 확인할 수 있습니다..‘구글 플레이 프로텍트’의 설정 방법은 간단한데요. 먼저, 구글 플레이 첫 화면 우측 상단에 있는 동그란 ‘내 프로필’을 눌러 메인 메뉴로 들어갑니다. 그리고 ‘Play 프로텍트’를 누른 뒤, 오른쪽 상단 ‘톱니바퀴’를 누르면 구글 플레이 프로텍트 기능을 활성화할 수 있습니다.| 2/ 앱부터 운영체제까지 최신 업데이트 상태 유지는 안드로이드 보안에 필수!업데이트는 앱, 운영체제를 개발한 사람들이 버그나 취약점을 발견했을 때, 이를 해결하기 위해 진행되는 데요. 스마트폰을 제때 업데이트하지 않으면 신종 버그나 취약점에 적절히 대응하지 못할 수 있어 주의가 필요합니다..앱 업데이트는 ‘구글 플레이’ 메뉴 ‘앱 및 기기 관리’ 탭에서 업데이트할 앱을 직접 선택해 진행하거나 ‘설정’ 탭에서 자동 업데이트로 설정이 가능합니다..운영체제 업데이트는 스마트폰 제조사별로 약간씩 차이가 있을 수 있지만, 대부분 스마트폰에 기본적으로 설치되어 있는 ‘설정’ 앱의 ‘소프트웨어 업데이트’ 탭에서 이루어집니다. 이곳에서 최신 업데이트를 확인하고 자동 업데이트를 설정할 수 있죠.| 3/ 안드로이드 보안 앱, 뭘 선택해야 할지 고민된다면 모바일가드로 해결!한편, 스마트폰으로 인터넷을 사용하다 보면 자신도 모르게 악성코드나 피싱 사이트에 노출될 수 있는데요. 이에 대응하기 위해서는 전문적인 보안 앱을 사용하는 것이 좋습니다. 컴퓨터를 위한 보안 프로그램이 많이 있듯이, 안드로이드 보안 앱도 다양한데요..모바일가드는 전문적인 보안 검사를 제공하는데요. 대표적으로 ‘간편검사’, ‘AI 정밀검사’, ‘스미싱 검사’ 등이 있습니다. 안심 QR 스캐너를 통해 안전성이 의심스러운 QR코드의 악성 URL 여부를 파악할 수도 있습니다..이 외에도 모바일가드는 스마트폰의 사용 환경을 케어해 주는데요. 스마트폰 속 불필요하게 사용되는 메모리와 앱을 정리해 쾌적한 환경을 유지함으로써 작동 속도를 높여주며, 우리 가족의 스마트폰에 설치된 악성 앱이나 스미싱문자를 검사하고 알림을 받을 수 있습니다..지금까지 안드로이드 보안을 위한 방법에 대해 알아보았습니다. 다양한 기능을 수행하는 스마트폰. 이제 우리 삶에서 떼려야 뗄 수 없는 만큼 더욱 보안에 유의하며 사용하기 바랍니다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
[Special Report] 웹 취약점과 해킹 매커니즘 #3 UNION SQL Injection
■개요SQL Injection은 사용자 입력값을 검증하지 않아 설계된 쿼리문에 의도하지 않은 쿼리를 임의로 삽입하여 악의적인 SQL 구문을 실행시키는 공격이다. 이번 Special Report는 UNION SQL Injection의 개념과 SQL Injection 공격에 취약한 소스코드로 구현한 게시판의 검색 기능에서 원하는 데이터를 추출하는 과정까지의 내용을 다룬다.※ 실제 운영 중인 서버에 테스트 또는 공격을 하는 행위는 법적인 책임이 따르므로 개인용 테스트 서버 구축 또는 bWAPP, DVWA, WebGoat 등과 같은 웹 취약점 테스트 환경 구축을 통해 테스트하는 것을 권장한다.※ 본 Special Report는 JSP와 Oracle Database 11gR2를 사용하여 취약한 서버를 구축하였다.■환경 구성UNION SQL Injection은 주소 찾기, 게시글 검색 등 사용자 입력값을 받아 그 결과를 페이지에 출력해 주는 기능에서 볼 수 있다. 이번 리포트에서는 웹 취약점 테스트용으로 구축한 서버의 게시판에서 진행된다. 아래의 그림과 같이 구성되었으며 사용자가 제목에 해당하는 특정 단어를 검색하면 서버는 데이터베이스에서 결과를 불러와 화면에 출력해 준다.[UNION SQL Injection 취약점이 있는 게시판 페이지]게시판의 검색 기능은 다음과 같은 취약한 소스코드로 구성되어 있다. 사용자 입력값인 searchWord에 대한 입력값 필터링이 존재하지 않아 공격자는 쿼리 조작이 가능하다.[SQL Injection에 취약한 소스코드]■UNION SQL InjectionUNION SQL Injection은 기존의 SELECT문에 UNION SELECT문을 추가하여 원하는 정보를 데이터베이스에서 추출하는 공격이다.UNION 연산자[1]는 아래의 그림과 같이 두 개 이상의 SELECT문에 대한 결과를 하나의 결과로 추출한다.[1] UNION은 기본적으로 중복을 제거한 결과를 보여준다. 중복을 포함한 결과를 추출할 경우 UNION ALL을 사용하면 된다.공격자는 이러한 점을 이용하여 기존의 SELECT문에 원하는 데이터를 추출하기 위한 UNION SELECT문을 추가하여 쿼리 결과를 확인할 수 있다.UNION 연산자를 사용하기 위해서는두 가지 조건을 만족해야 한다.1) 기존의 SELECT문과 UNION SELECT문의 컬럼 수가 동일해야 한다.※ 컬럼 수가 동일하지 않을 경우 아래의 그림처럼 에러 메시지를 반환한다.2) 각각의 컬럼은 순서 별로 동일한 데이터형이어야 한다.[2]※ 각 컬럼의 데이터형이 동일하지 않을 경우 아래의 그림처럼 에러 메시지를 반환한다.[2] MySQL의 경우 자동 형 변환이 이루어지기 때문에 데이터형이 일치하지 않아도 된다.현재 데이터베이스의 USERID와 USERPW 컬럼은 문자형이며, USERTEL 컬럼은 숫자형으로 구성되어 있다. 따라서 SELECT문과 UNION SELECT문의 두 번째 컬럼인 USERPW와 USERTEL의 데이터형이 일치하지 않아 에러가 발생한다.따라서 UNION SQL Injection을 진행하기 위해서는 기존의 SELECT문에 대한 컬럼 수와 데이터형을 알아내는 과정이 필요하다.■보안 대책SQL Injection의 보안 대책은 크게 2가지가 있다.- Prepared Statement[7]: 근본적인 해결책으로 많이 사용하지만, 문법적/비즈니스 로직 상 사용이 불가한 로직이 있으며 서버가 운영 중일 경우 소스코드 수정이 어려울 수 있다.[7] Prepared Statement는 컴파일이 미리 되어있기 때문에 입력값을 변수로 선언해두고 필요에 따라 값을 대입하여 처리한다.- Filtering : White List Filter 방식을 적용해 허용할 문자열을 지정하는 것이 좋다. 상황상 Black List Filter 방식을 적용해야 한다면, 공격 기법에 사용되는 예약어 및 특수 문자를 모두 Filtering 해야 한다.※ 문자열 필터링 시 대소문자 모두 필터링하는 것이 좋다.※ UNION SQL Injection의 경우 UNION, UNION ALL, ORDER BY, NULL 등의 문자에 대한 필터링이 필요하다.■맺음말지금까지 집합 연산자 UNION을 이용한 UNION SQL Injection의 공격 과정에 대해 알아봤다. UNION 연산자 사용 조건에 만족하기 위해 ORDER BY절과 NULL 문자를 사용해 기존의 SELECT문의 컬럼명과 데이터형을 추출했고 그 정보를 바탕으로 전체 테이블 목록, 테이블의 컬럼명을 조회하여 원하는 데이터를 탈취할 수 있다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
[Special Report] 웹 취약점과 해킹 매커니즘 #2 SQL Injection 개요
■개요이번 '웹 취약점과 해킹 매커니즘'에서 다룰 첫 번째 취약점은 설계된 쿼리문에 의도하지 않은 미상의 쿼리를 임의로 삽입하여 악의적인 SQL 구문을 실행하는 공격인 'SQL Injection'이다. 해당 취약점을 통해 공격자는 데이터베이스에 직접적으로 접근해 중요 정보를 조회, 탈취할 수 있다. 그렇기 때문에 오픈소스 웹 애플리케이션 보안 프로젝트인 OWASP(The Open Web Application Security Project)의 Top 10 취약점 목록과 주요 정보통신 기반 시설 취약점 분석·평가 항목, 전자금융 기반 시설 취약점 분석/평가 항목 등의 다양한 취약점 진단 기준에 빠지지 않고 등장하고 있다.이번 4월 호는 위 SQL Injection에 관한 내용을 다루기 전에 데이터베이스와 데이터베이스 관리용 언어인 SQL에 대한 내용을 먼저 설명할 예정이며, SQL Injection의 개념과 3가지 공격 유형 등 기본 개념도 설명할 예정이다.※ 실제 운영 중인 서버에 테스트 또는 공격을 하는 행위는 법적인 책임이 따르므로 개인용 테스트 서버 구축 또는 bWAPP, DVWA, WebGoat 등과 같은 웹 취약점 테스트 환경 구축을 통해 테스트하는 것을 권장한다.※ 본 Special Report는 JSP와 Oracle Database 11gR2의 환경에서 실습을 진행한다.■기본 개념SQL Injection에 대한 내용을 진행하기에 앞서 데이터베이스와 데이터베이스 관리용 언어인 SQL(Structured Query Language)에 대해 알아보고자 한다.Step1. 데이터베이스와 DBMS데이터베이스란 데이터를 효율적으로 관리하기 위해 구조화한 데이터 집합을 뜻하며 DBMS(Data Base Management System)를 통해 운영 및 관리된다. 계층형, 망형, 관계형 등 다양한 종류의 DBMS가 존재하며 대부분의 DBMS는 관계형 DBMS(RDBMS)의 형태로 사용되고 있다. 관계형 DBMS의 데이터베이스는 하나 이상의 행(row)과 열(column)로 이루어진 테이블 형식으로 데이터를 제공한다.대표적인 관계형 데이터베이스에는 ORACLE, MySQL, MS-SQL, PostgreSQL 등이 있다.Step2.SQL (Structured Query Language)SQL은 데이터베이스에서 질의, 수정, 삭제 등의 작업을 하는 데이터베이스 관리용 언어이며 대부분의 관계형 데이터베이스에서 사용한다. SQL이라는 언어를 통해 사용자가 원하는 데이터를 데이터베이스에 요청하는 행위인 쿼리(질의)를 작성한다.쿼리 작성 시 주의해야 할 SQL의 언어적 특성은 다음과 같다.1. 대소문자를 가리지 않는다.2. SQL쿼리문은 반드시 세미콜론(;)으로 끝나야 한다.3. 고유값을 가지는 문자열의 경우 홑따옴표(')로 감싸준다.4. 주석[1]은 한 줄 주석의 경우 --로 나타내고 여러 줄 주석은 /* */로 감싸서 표현한다.각 데이터베이스 별 주석 처리 방법은 다음과 같다.[1] 주석 처리를 하는 특수문자 뒤의 문장은 의미가 없어진다.SQL 문법은 사용 용도에 따라 데이터 정의어(DDL, Date Definition Language), 데이터 제어어(DCL, Data Control Language), 데이터 조작어(DML, Data Manipulation Language)로 구분된다.데이터베이스를 조회하고 관리하는 데이터 조작어가 가장 많이 쓰이며, 공격자의 주요 공격 포인트가 된다. INSERT, UPDATE, DELETE는 운영 중인 서버에 데이터를 추가, 수정, 삭제하는 영향을 줄 수 있기 때문에 사용에 주의해야 한다.다음은 데이터 조작어의 사용법이다.SELECT : 데이터베이스의 데이터를 조회하거나 검색하기 위한 명령어INSERT : 데이터베이스에 데이터를 추가하기 위한 명령어■SQL InjectionStep 1. 개념SQL Injection은 개발자가 설계한 쿼리문에 정상적인 SQL 구문이 아닌 악의적인 구문을 삽입(Injection)했을 때, 유효성 검증을 제대로 하지 않아 공격자의 의도대로 악의적인 SQL구문이 실행되는 공격이다. 웹 애플리케이션이 데이터베이스와 연동되어 있고 사용자가 입력한 값이 SQL 구문의 일부로 사용되는 환경에서 발생할 수 있다.취약점은 사용자가 입력하는 로그인 또는 검색 기 등의 입력 폼에 SQL의 문법적 의미를 갖는 홑따옴표(') 입력 시 아래 그림과 같이 SQL 에러 메시지를 반환한다면 SQL Injection 공격이 가능한 것으로 판단할 수 있다.래는 일반 사용자가 웹 사이트에 등록된 자신의 아이디와 비밀번호로 로그인하는 과정에서 사용자 입력 값인 아이디와 패스워드가 서버 측의 SQL 구문에서 어떻게 동작하는지를 나타낸 것이다. 데이터베이스의 MEMBER 테이블의 값과 사용자가 입력한 아이디와 비밀번호가 일치하는 경우 정상적으로 로그인이 완료된다.래는 일반 사용자가 웹 사이트에 등록된 자신의 아이디와 비밀번호로 로그인하는 과정에서 사용자 입력 값인 아이디와 패스워드가 서버 측의 SQL 구문에서 어떻게 동작하는지를 나타낸 것이다. 데이터베이스의 MEMBER 테이블의 값과 사용자가 입력한 아이디와 비밀번호가 일치하는 경우 정상적으로 로그인이 완료된다.[SQL 문법 오류로 인한 에러 메시지]아래는 일반 사용자가 웹 사이트에 등록된 자신의 아이디와 비밀번호로 로그인하는 과정에서 사용자 입력 값인 아이디와 패스워드가 서버 측의 SQL 구문에서 어떻게 동작하는지를 나타낸 것이다. 데이터베이스의 MEMBER 테이블의 값과 사용자가 입력한 아이디와 비밀번호가 일치하는 경우 정상적으로 로그인이 완료된다.[정상적인 로그인 요청]아래는 공격자가 관리자의 아이디인 admin의 존재를 알고 비밀번호는 모를 때 SQL Injection을 통해 로그인하는 과정이다. 아이디 입력 값으로 [admin' --]을 입력하고 비밀번호는 임의의 값인 [1111]을 입력하는데, 이때 아이디 입력 값의 특수문자가 SQL 문법으로 작용하여 홑따옴표(') 이후의 주석인 --으로 인해 비밀번호를 검증하는 부분이 주석 처리된다. 따라서 관리자 계정을 알고 있는 공격자는 임의의 비밀번호를 입력해도 admin 계정으로 로그인이 가능해진다.[로그인 인증 우회][관리자 계정으로 로그인 성공]이렇듯 공격자는 SQL Injection을 통해 로그인을 우회할 수 있으며, 데이터베이스 조작 및 유출, 시스템 명령어 실행 등 데이터베이스에 직접적인 영향을 주는 공격을 할 수 있다.SQL Injection의 개요를 살펴보았다. SQL Injection 취약점이 있을 경우, 공격자가 직접적으로 데이터베이스를 공격하여 중요 정보를 조회하고 탈취할 수 있으므로 개발자는 취약점이 발생하지 않도록 개발해야 하고, 진단자는 취약점 진단 시 누락 없이 찾는 것이 중요하다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
[Special Report] 웹 취약점과 해킹 매커니즘 #1 개요
■개요‘웹 취약점과 해킹 매커니즘’ 이라는 주제로 새롭게 시작하는 Special Report는 주요 웹 취약점인 SQL Injection, 크로스 사이트 스크립팅, 파일 다운로드 등 취약점이 발생하는 원리와 이러한 취약점에 대한 공격 방법 및 공격을 방어할 수 있는 시큐어 코딩에 대해 알아본다.웹에서 발생할 수 있는 취약점이 다양하기 때문에 매월 시리즈물로 발간될 예정이며, 이를 통해 웹 취약점에 대한 이해와 함께 취약점 조치 방안을 알 수 있다.웹 해킹에 필요한 기본 지식들에 대해 설명하고 웹에서 사용되는 기본 용어 설명, 웹의 동작 방식, 웹 해킹에 사용되는 도구 등에 대해 알아보고자 한다.■웹(World Wide Web, WWW)과 HTTP(HyperText Transfer Protocol)웹은 인터넷을 통해 연결된 사용자들이 정보를 공유할 수 있는 정보 공간이며 클라이언트/서버 구조[1]로 동작한다. 클라이언트는 서비스를 사용하는 사용자 혹은 사용자의 단말기를 가리킨다. 인터넷 익스플로러, 크롬 등의 브라우저는 웹 서버로 접속해 화면 출력을 위해 웹 페이지를 요청하는 대표적인 클라이언트이다. 이때 클라이언트의 요청에 서비스를 응답해 주는 것이 바로 서버이다.[1] 서비스를 요청하는 클라이언트와 클라이언트의 요청을 처리하는 서버의 협동작업을 통해 사용자가 원하는 결과를 얻는 처리 방식이다.웹 서버와 클라이언트는 서로 통신을 하기 위해 HTTP 프로토콜을 사용한다. HTTP는 웹 서버와 클라이언트 사이의 통신을 위해 사용하는 통신 프로토콜로, 인터넷상의 하이퍼텍스트 문서 교환을 위해 사용되며 암호화된 HTTP를 HTTPS라고 한다. [클라이언트/서버 구조]HTTP 프로토콜은 인터넷상 불특정 다수의 클라이언트와 통신을 하는데, 이때 연결을 계속 유지한다면 많은 리소스가 발생하게 된다. 이러한 문제를 해결하기 위해 클라이언트의 요청에 대한 서버에 응답이 끝나면 연결을 끊어버리는 비연결성(Connectionless)이라는 특징을 갖는다. 이로 인해 서버는 클라이언트를 식별할 수 없어 사용자의 상태 정보를 기억하지 못하는 무상태(Stateless)의 특징도 나타난다.하지만 웹 서비스 운영 시 로그인 유지 등과 같이 사용자의 상태 정보를 기억해야 하는 경우가 많아졌으며, HTTP는 이러한 문제점을 해결하기 위한 기술인 ‘쿠키(Cookie)[2]’, ‘세션(Session)[3]’을 사용하게 되었다.[2] 쿠키는 클라이언트 측에 사용자 정보를 저장하기 때문에 공격자로부터 위변조의 가능성이 높아 보안에 취약하다.[3] 세션은 서버 측에 사용자 정보를 저장하기 때문에 쿠키보다는 안전하지만, 세션 정보도 탈취당할 수 있다.■HTTP 요청과 응답HTTP는 서버/클라이언트 모델을 따르며 요청(Request)와 응답(Response) 형태로 구성되어 있다. 클라이언트는 웹 브라우저를 통해 웹 서버로 요청을 전송하고 웹 서버는 이에 대한 응답을 클라이언트에게 전송한다. [HTTP 요청과 응답]HTTP 요청HTTP 요청은 클라이언트가 서버에게 특정 동작을 요청하기 위해 전송하는 메시지이며 요청 페이지와 함께 서버에 전달하는 클라이언트의 정보를 포함하고 있다.1) HTTP 요청 헤더 구성 [HTTP 요청 헤더]· GET /business/expert/eqst.do HTTP/1.1 : 요청 URL 정보 및 HTTP 버전· Host : 요청 도메인· Cookie : 클라이언트 측에 저장된 사용자 상태 정보· User-Agent : 사용자의 웹 브라우저 종류· Accept : 요청 데이터 타입· Referer : 요청을 보낸 페이지의 URL2) HTTP 요청 메소드HTTP 요청 헤더 중 요청 메소드를 통해 클라이언트가 웹 서버에게 요청의 목적과 종류를 알린다. 주로 GET, POST 방식으로 자원을 요청한다. TRACE, PUT, DELETE와 같은 메소드는 사용자가 웹 서비스를 이용할 때 필요하지 않기 때문에 설정되어 있을 경우 취약점이 되기도 한다. [HTTP 요청 메소드]hHTTP 응답서버는 클라이언트로부터 요청이 오면 응답 헤더의 정보와 바디의 데이터를 포함하여 요청에 대한 응답을 한다.1) HTTP 응답 헤더 구성 [HTTP 응답 헤더]· HTTP/1.1 200 OK : HTTP 버전과 응답 코드· Server : 웹 서버 정보· Content-Length : 응답 패킷의 길이· Content-Type : MIME 타입2) HTTP 응답 코드(상태 코드)서버는 클라이언트가 보낸 HTTP 요청에 대한 응답 코드를 보내는데 이를 보고 요청의 성공과 실패 여부와 같은 서버의 상태를 판단할 수 있다. 응답 코드는 100번대부터 500번대까지의 세 자리 숫자로 구성되며 이 중 클라이언트 오류를 나타내는 400번대 코드와 서버 오류를 나타내는 500번대 코드를 주의 깊게 봐야 한다. 아래의 표는 자주 볼 수 있는 HTTP 응답 코드의 몇 가지 예시이다. [HTTP 응답 헤더]■사용 툴 소개일반적인 사용자가 보는 화면은 웹 브라우저 하나지만 실제 요청 시 많은 데이터가 전달되는데, 이를 변조하고 결과를 확인하기 위해서 공개된 툴을 사용하는 것이 좋다. 웹 취약점 진단 시 사용하는 툴의 종류는 다양하게 존재하지만, Special Report에서는 주로 웹 프록시[5] 툴인 ‘버프 스위트(Burp Suite)’와 브라우저의 확장 기능 중 하나인 ‘개발자 도구’가 사용된다.[5] 프록시 서버는 클라이언트와 서버의 중간에서 통신을 매개하는 역할을 한다. 버프 스위트(Burp Suite)조작할 수 있게 해주는 웹 프록시 툴이다. 공격자는 버스 스위트를 통해 브라우저에서 서버로 전송되는 요청 패킷을 확인하고 변조할 수 있으며, 서버에서 브라우저로 전송되는 응답 패킷을 가로채 보안 로직을 삭제하거나 변경하는 것이 가능하다. [버프 스위트 동작 원리]또한 버프 스위트는 애플리케이션 단에서 패킷을 받고 응답을 전송하기 때문에 SSL 적용이 되지 않은 상태이므로 평문으로 나타난다.버프 스위트의 Proxy 기능은 다음과 같다. [버프 스위트 - Proxy]①Intercept : 패킷을 가로채서 변조하고 응답을 확인하는 곳②HTTP history : 웹으로 주고받은 데이터들이 쌓이는 곳으로 통신 로직 분석 가능③WebSockets history : 웹 소켓을 통해 주고받은 데이터가 쌓임④Options : 웹 프록시 기능을 하기 위해 설정 변경을 하는 곳Proxy > Intercept > Intercept is on 을 통해 웹 서버로 요청되는 패킷을 중간에서 확인할 수 있으며 조작이 가능하다.이외에도 사용자가 정의한 자동화 공격을 수행할 수 있는 Intruder 기능, HTTP 요청을 편집하고 재전송해서 응답을 볼 수 있는 기능인 Repeater 등이 주로 사용된다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
2021 년 침해 사고 원인을 분석한 결과 Credential Stuffing 이 31.5%로 가장 많은 비율을 차지했다. 뒤이어 공급망 공격과 VPN 공격이 각각 22.7%와 21.5%를 차지했다. 상반기에 이어 DarkWeb 을 활용한 개인정보 거래가 활발하게 이뤄지면서 하반기에도 Credential Stuffing 으로 인한 피해는 꾸준히 발생하였다. DarkWeb 에 개인 정보를 판매하는 행위는 해커들에 가장 기본적인 금전화 수단이기 때문에, 앞으로도 개인 정보를 사고 팔고 이를 악용하여 Credential Stuffing 공격을 하는 악순환은 지속될 것으로 보인다. 사용자들은 사이트별로 다른 ID 혹은 다른 PW 를 사용하고, 주기적으로 PW 를 변경하는 등 개인 계정관리에 주의가 요구된다. 이외에도 올해 오픈 소스 기반 시스템의 증가, 원격 근무 환경 확대 등으로 공급망과 VPN 에 대한 공격이 증가한 것을 알 수 있다. 앞서 공격 발생 이벤트에서도 확인하였듯이, 관련 공격 시도가 꾸준히 증가하며 실제로 솔라윈즈, 카세야, 포티넷 취약점을 이용한 대규모 침해 사고가 발생하였다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
2021년 침해 사고를 유형별로 나눠보면 개인/기업 데이터 복구 비용, 시스템 마비 등을 노린 악성코드 감염 사고가 38%로 가장 많이 발생했다. 뒤이어 다수의 기업을 노린 공급망 공격이 21%를 차지했고 개인 정보 유출로 인한 사고가 15%, 기밀 자료 유출 목적의 공격은 11%를 차지했다. 최근 악성코드 감염 사고는 대부분 대기업, 금융, 의료 등 자금 능력이 있는 회사를 공격하여 금전을 갈취하려는 목적으로 발생하고 있다. 특히 올해는 사용자나 시스템을 악성코드로 감염시켜 회사 내부망을 침투하는 APT 공격이 가장 많았다. 개인 정보+내부 기밀정보는 탈취 후 DarkWeb 에 판매하고, 랜섬웨어 배포 후 데이터 몸값을 요구하는 이중 협박 사례가 증가하였다. 산업군별로 정부 차원에서 보안 책임자 지정을 의무화하거나 보안에 소요되는 예산을 적정 수준 이상으로 규제하는 등의 조치를 취할 필요가 있다이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
우리가 정보를 얻기 위해 자연스럽게 접속하는 인터넷 이외에 또 다른 인터넷 세계가 존재한다는 사실, 알고 계셨나요? 특수한 경로를 통해서만 닿을 수 있는 인터넷 세계를 다크웹(Dark Web)이라 부르는데요. 불법 포르노 유포뿐만 아니라 해킹, 불법 금융, 마약 거래 등 철저하게 보장되는 익명성을 악용한 범죄가 무분별하게 발생하고 있습니다. 오늘은 사이버 범죄의 온상으로 떠오른 다크웹이 무엇인지, 그리고 이러한 사이버 범죄를 어떻게 예방할 수 있는지 인포섹이 알려 드리겠습니다. 인터넷 속 지하세계, 다크웹(Dark Web)일반적으로 정보 검색을 위해 네이버, 다음과 같은 포털 검색 엔진을 사용하죠. 이렇게 누구나 쉽게 접하는 웹을 서피스 웹(Surface Web)이라고 하는데요. 이는 많은 사람들이 일반적으로 사용하는 인터넷이지만 전체의 10% 내외인 일부만을 차지하고 있으며, 상당수의 정보는 보안을 이유로 단순 검색만으로 인터넷에 노출되지 않습니다. 개인 전자 메일, 회원제 카페, 회사 내부의 전산망 및 개인 메신저 등을 예시로 들 수 있는데요. 이처럼 일반적인 검색 엔진에 공개되지 않는 인터넷 세계를 딥웹(Deep Web)이라고 부릅니다. 그리고 다크웹(Dark Web)이란, 암호화된 네트워크에 존재하며 특수한 경로로만 접근이 가능한 특정 부류의 웹사이트입니다. 지난 2013년, 미국 FBI가 온라인 마약 거래 웹사이트인 실크로드를 적발하면서 세상에 알려지게 됐는데요. 현재까지도 다크웹 안에서 마약, 무기 거래는 물론 해킹, 불법 포르노, 성 착취 등 사이버 범죄가 공공연하게 발생하고 있으며, 사이버 범죄에 해당하는 자료들이 비트코인을 통해 판매되고 있습니다. 다크웹, 왜 사이버 범죄의 공간이 됐을까?다크웹은 과거 미국 해군연구소에서 보안 목적으로 고안된 익명 네트워크 기술이 기반입니다. 다크웹 역시 인터넷 서버의 일종이지만, 일반적인 인터넷 이용 방식과는 조금 다른 점이 있는데요. 바로, 특정한 웹 브라우저 또는 토르(Tor) 전용 프로그램을 사용해야만 접속 가능하다는 것이죠. 토르는 전 세계에 분산된 서버를 거쳐 인터넷 접속이 이뤄지고, 일반 네트워크가 아닌 별도 네트워크를 통해 웹페이지에 방문하더라도 익명성이 보장된다는 특징이 있습니다. 사실, 토르 같은 익명 네트워크 자체가 불법은 아니었습니다. 초기에는 해커들의 기술 포럼 등에 주로 쓰였지만, 점차 ‘나를 숨길 수 있다’는 익명성의 특징을 악용하면서 결국 불법 거래의 장, 사이버 범죄가 공공연하게 발생하는 공간이 된 것입니다. 최근 많은 국민의 분노를 자아낸 웰컴투 비디오, N번방 사건 역시 다크웹에서 발생한 사이버 범죄입니다. IP 주소가 숨겨진 강력한 익명 네트워크로 구성된 다크웹에서는 유출된 개인정보가 거래되고 있어 정보 유출로 인한 계좌 탈취와 카드 사기 역시 꾸준히 증가하고 있습니다. 피해 예방, 개인정보 보호에서 시작!사이버 범죄의 온상 다크웹, 그렇다면 직접 접속만 하지 않는다면 안전할까요? 방심은 금물! 최근 연이어 발생하는 개인정보 유출 사건으로 인해 다크웹에서 개인정보가 거래되는 경우도 어렵지 않게 찾아볼 수 있습니다. 특히 사물인터넷(IoT) 사용자가 증가하면서 해킹 시도도 함께 증가하고 있는데요. 비교적 보안이 허술한 가정용 사물인터넷 기기를 해킹하여 사생활이 담긴 스파이캠을 다크웹에 유포한 사례가 있습니다. 이는 사생활 단순 노출을 넘어 2차 범죄로 이어질 수 있어 주의가 필요합니다. 다크웹 피해 예방은 개인정보 보호에서 시작됩니다. 사물인터넷 기기 해킹을 예방하기 위해 사물 인터넷의 패스워드를 대소문자, 숫자, 특수문자 등을 섞어 단순하지 않게 설정하고, 주기적으로 교체합니다. 또한, 절대 단순한 호기심만으로 다크웹에 접속해서는 안 됩니다. 다크웹 블랙마켓에서는 유출된 카드 정보가 인기 상품으로 거래되고 있습니다. 실제로 최근 다크웹에서 국내 신용카드 정보 약 90만 건이 유통된 것으로 나타났는데요. 포스 단말기를 악성코드에 감염 시켜 저장된 정보를 빼낸 후 불법 거래된 것으로 유추되며, 과거에 이를 이용한 대규모 정보 침해 사고가 잇따라 발생하기도 했습니다. 여신금융협회는 만일의 정보 유출을 방지하기 위해 꽂아서 결제하는 IC칩 거래를 우선시하고, 온라인 결제 비밀번호는 정기적으로 변경하고, 해외 카드 사용 중지 서비스를 신청하여 피해를 예방할 것을 전했습니다. 이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
연예인 핸드폰 해킹 주범! ‘크리덴셜 스터핑’은 무엇일까?
세계를 위협하는 공격, 크리덴셜 스터핑(Credential Stuffing)이란?크리덴셜 스터핑(Credential Stuffing)이란 공격자가 사용자의 계정, 비밀번호, 기타 여러 가지 암호화된 개인 정보(Credential)를 여러 방식으로 획득하여 사용자가 이용할 만한 시스템 및 사이트에 방문 후 무작위로 대입(Stuffing)하는 공격 방식을 말합니다.2018년 크리덴셜 스터핑 상위 공격 대상 국가지난 2019년, 보안업체 AKAMAI에서 발표한 '<인터넷 보안 현황 보고서> 크리덴셜 스터핑: 공격과 경제 특별 미디어 보고서'에 따르면 2018년 크리덴셜 스터핑 상위 발생 국가는 미국과 인도, 캐나다 순으로 독일, 호주에 이어 대한민국이 크리덴셜 스터핑 발생 국가 6위로 선정되었습니다. 크리덴셜 스터핑의 특징은 제한된 시간 내 많은 계정에서 동시다발적으로 로그인을 시도한다는 것인데요. 로그인 실패 수가 많고, 트래픽에 변화가 한순간 증가하면서 시스템 이용이 불가능해지는 것이 특징입니다.나쁜 보안 습관이 공격을 부른다! 크리덴셜 스터핑 공격 원리사용자는 하나의 시스템 혹은 사이트만 이용하지 않고, 다중의 시스템과 사이트를 이용합니다. 해당 시스템과 사이트의 사용자 인증 수단은 주로 아이디와 비밀번호를 입력하여 로그인하는 방식인데요. 대부분의 사람들이 계정과 비밀번호를 모두 다르게 설정하면 기억하기 힘들기 때문에 여러 서비스에 같은 계정 정보를 이용합니다. 크리덴셜 스터핑 공격 방법(출처: 인포섹 EQST insight)그러나 여러 서비스에 같은 계정을 사용할 경우 단 한 곳의 계정 정보가 유출되어도 문제가 발생하게 됩니다. 공격자는 유출된 계정 정보로 해당 사용자가 사용할만한 시스템 및 사이트를 찾아 유출된 정보를 무작위로 대입함으로써 크리덴셜 스터핑이 발생합니다. 크리덴셜 스터핑의 성공 확률은 0.1~0.2%입니다. 낮은 수치로 보일 수 있지만 수백~수천만 건의 유출된 정보 중 0.1~0.2%는 결코 적은 수치가 아닙니다. 예를 들어, 100만 건의 정보 유출이 있었고 그중 1~2만 건의 계정 접근에 성공하여 각 계정으로 10개의 시스템이나 사이트를 공격한다면, 10~20만의 피해가 발생하게 되는 것입니다. 크리덴셜 스터핑 공격 사례 크리덴셜 스터핑은 하나의 로그인 정보만 탈취하면 다른 계정도 같이 공격할 수 있어 공격자들이 호시탐탐 기회를 노리는 공격 기법입니다. 최근 공격자들이 이러한 절호의 기회를 포착한 사례가 잇달아 발생했습니다. 연예인 핸드폰 해킹 사건최근 일부 연예인들의 스마트폰이 해킹되어 개인정보가 유출되었다는 이슈가 화제였습니다. 보안 업계에 따르면 배우 A씨는 ‘크리덴셜 스터핑’ 방식의 해킹을 당한 것으로 드러났는데요. 해커가 불법으로 개인 정보를 입수해 클라우드 계정에 접근, 개인 정보를 빼낸 것으로 보인다는 의견이 있었습니다. 휴대전화 제조사는 “당사의 클라우드가 해킹 당한 것이 아니라 일부 사용자 계정이 외부에서 유출된 후 도용돼 사건이 발생했다”라며 크리덴셜 스터핑 수법에 무게를 실었습니다. 유명 커피 프랜차이즈 충전금 탈취 사건유명 커피 프랜차이즈의 충전금이 탈취된 사건이 발생했습니다. 해당 커피전문점은 적립 제도를 운용 중이었고, 일부 매장에서는 ‘현금 없는 매장’을 운영하며 신용카드나 충전 카드 사용을 장려하고 있는데요. 범인은 이러한 상황을 인지하고, 크리덴셜 스터핑 방식으로 공격하여 성공한 ID의 충전 금액을 옮기는 수법으로 사용자의 돈을 훔쳤습니다. 공격이 발생한 직후 해당 커피전문점은 크리덴셜 스터핑 공격이 이루어진 아이디와 비밀번호를 초기화하고, 공격 사실을 피해자에게 메일과 앱 푸시로 알렸습니다. 아울러, 피해 고객들에게는 피해 금액을 100% 복구하겠다고 밝혔습니다. 대형마트 회원 개인정보 유출 사건크리덴셜 스터핑 공격으로 한 대형마트의 회원 계정에 로그인을 시도한 사례가 발생했습니다. 마트와 연계된 카드사 측은 1개의 카드가 4만 9,007명의 ID 와 연동된 것을 이상하게 여겨 대형마트 측에 문의하였고, 조사 결과 해당 계정들이 탈취된 사실을 확인했습니다. 대형마트는 고객 정보가 해커에게 직접 유출되지는 않았다고 설명했으며, 해당 카드의 적립 및 사용이 불가능하도록 조치했음을 밝혔습니다. 또한, 동일한 카드가 다수 등록될 경우 이상 행위로 간주하고 담당자에게 즉시 통보되도록 관제 운영 기준을 강화했다고 전했습니다. 간편 결제 애플리케이션 부정 결제 사건누적 1,700만 명이 가입한 모바일 금융 서비스에서 이용자 몰래 결제가 진행된 사고가 발생했습니다. 피해자는 총 8명으로 금액은 983만 원입니다. 금융사 측은 당사에서는 고객 결제 비밀번호를 수집하지 않으며, 피해 고객의 개인 정보가 다른 경로로 유출돼 간편 결제에 이용된 것이라고 주장했습니다. 하지만 한국 간편 결제 앱 시장에서 가장 많은 이용자를 확보한 금융사에서 이 같은 사고가 발생했다는 사실만으로 보안 취약의 문제가 여실히 드러났다는 지적입니다.크리덴셜 스터핑, 예방할 방법은?크리덴셜 스터핑을 완벽하게 방어할 방법은 없습니다. 따라서 공격자가 인증정보를 입수하는 과정을 최대한 어렵게 만들어야 합니다. 다음과 같은 방법을 통해 크리덴셜 스터핑으로부터 피해를 예방할 수 있습니다. 비밀번호 관리1. 충분히 길고 높은 복잡도의 비밀번호 설정 2. 다른 계정에서 중복으로 쓰지 않는 독립적인 비밀번호 사용3. 주기적인 비밀번호 변경4. 서비스 및 사이트별 비밀번호 분류 다중 인증 방식(MFA : Multi-factor Authentication) 적용1. 계정마다 생체 인증, 문자 인증, 전화 인증 등 다양한 방법의 2차, 3차 인증 설정2. 로그인 실패 시 로그인 차단 시스템 적용 의심스러운 메일 및 URL 열람 금지스팸 메일이나 의심스러운 URL을 통해 개인 정보를 탈취하여 악의적으로 사용할 수 있기 때문에 열람하지 않고 바로 스팸 차단하거나 삭제해야 합니다. 만약, 실수로 열람했다면 IT 보안 관계자에게 문의하여 범죄 예방조치를 받도록 합니다.누구나 개인 정보 유출 피해자가 될 수 있습니다. 하지만 충분히 대처할 수 있는 문제인 만큼 최소한의 피해를 막기 위해선 기본적인 보안 수칙을 지키는 것이 중요합니다. 소중한 정보를 지키는 길, 예방이 최우선입니다. 이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
늘어나는 개인 정보 거래, 다크웹을 통한 크리덴셜 스터핑 대응법
■ 개요다크웹[1]에서의 개인 정보 유출이 크게 증가하면서 크리덴셜 스터핑(Credential Stuffing)[2] 공격이 증가하는 추세이다. 2021년도 기준 다크웹 개인정보 거래량은 전년 대비 29% 증가했으며 크리덴셜 스터핑 공격 역시 증가하는 양상이다.다수의 공격자가 크리덴셜 스터핑 공격을 시도하는 이유는 크리덴셜 스터핑이 비용 대비 효율적인 공격 방법이기 때문이다. 공격자가 크리덴셜 스터핑 공격으로 10만 건의 유효한 계정 정보를 탈취하는 비용은 200달러 미만에 불과하고, 이 비용 또한 점차 낮아지고 있어 크리덴셜 스터핑은 앞으로도 증가할 것으로 예상된다.이번 Special Report에서는 다크웹의 개인 정보 거래 현황과 크리덴셜 스터핑의 위험성 및 대응방안에 대해 알아보고자 한다. [1] 특정 브라우저나 소프트웨어를 통해서만 접근할 수 있는 인터넷 영역[2] 이용자가 여러 웹사이트에 동일한 계정 정보를 사용하고 있다는 점을 이용, 유출된 계정 정보를 어플리케이션 로그인 폼에 대입하여 인증을 획득하는 공격■ 다크웹에서 시작되는 크리덴셜 스터핑개인정보의 거래가 이루어지는 블랙마켓[3] 또는 언더그라운드 포럼에서는 하루 평균 300~600건의 유출 데이터 판매 게시물이 꾸준히 업로드 되고 있다. 이 중에는 43개의 기업, 병원 등에서 탈취한 3,200만 건의 국내 개인 정보 판매 게시물을 포함하여 쇼핑몰, 이동통신사, 공공기관 등을 대상으로 획득한 약 4,000만 건의 판매가 이뤄지는 것을 확인할 수 있다.[3] 법에 저촉되는 물건을 암암리에 사고 파는 장소[국내 계정 3200만 건 판매 글][다크웹 계정정보 유출 내역]이처럼 다크웹에서 거래되는 개인정보는 공격자에 의해 크리덴셜 스터핑 공격에 활용된다. 크리덴셜 스터핑의 성공 확률은 0.1~0.2%로 다소 낮은 수치로 보일 수 있지만, 위 사례와 같이 4,000만 건이 유출됐을 경우 그중 0.1 ~0.2%인 400~800만 건이 성공하기 때문에 낮은 수치라고 볼 수 없다.크리덴셜 스터핑의 위험성은 단순히 개인정보 탈취에 그치지 않고 획득한 정보를 통해 추가적인 공격을 수행할 수 있다는 점에 있다. 크리덴셜 스터핑으로 발생할 수 있는 추가 공격 유형은 데이터 탈취, 사용자 사칭, 악성코드 유포, 피싱 및 스캠 등이 있다.[크리덴셜 스터핑 공격 피해 유형]실제 크리덴셜 스터핑 공격 사례를 살펴보자. 최근 국내 유명 메신저를 대상으로 대량의 크리덴셜 스터핑 공격이 발생한 것으로 추정되는 사건이 있었다. 악성코드에 의해 감염된 PC로부터 PC에 저장돼 있던 계정 7,971건이 다크웹에 유출됐고, 해당 계정 중 중복 계정을 제거 후 바로 활용할 수 있는 계정이 3,696건 존재했다. 그 밖에도 20년에는 유명 배우의 클라우드 계정이 해킹되어 개인적인 자료를 빌미로 금전을 요구하는 사건이 있다. 해커는 다른 웹사이트에서 유출된 계정 정보를 가지고 크리덴셜 스터핑 공격을 시도했고, 동일한 계정 정보를 사용하고 있던 클라우드 계정에 정상적으로 로그인함으로써 이와 같은 범행을 저질렀다고 알려졌다.■ 크리덴셜 스터핑 공격 시나리오웹 해킹, 멀웨어, 피싱, 워터링홀 등의 방법으로 탈취된 계정 정보는 다양한 경로를 통해 다크웹에 유통되고, 공격 성공률을 높이기 위한 공격자는 다크웹에서 최대한 많은 계정정보를 수집한다. 획득한 계정 정보는 자동화 툴과 봇넷을 통해 희생자 웹사이트의 로그인 폼에 반복하여 대입(Stuffing)이 시도되며, 유출된 계정과 동일한 계정 정보를 쓰는 경우 공격자는 해당 웹사이트에서 추가적인 개인 정보를 획득하거나 악의적인 행위를 수행한다. 이러한 방법으로 획득한 계정 정보는 또 다시 다크웹에 판매되면서 2, 3차 피해로 이어진다.① 웹해킹, 멀웨어, 피싱, 워터링홀 공격으로 탈취한 계정 정보가 다크웹에 유통② 공격자(Attacker)가 다크웹에서 유통 중인 계정 정보를 구입③ 수집한 계정 정보를 봇넷을 이용하여 여러 웹사이트 로그인폼에 무차별 대입(Stuff)④ 인증된 웹사이트에서 추가 개인정보 획득하며 일부는 다크웹에 재판매 ■ 크리덴셜 스터핑 대응 방안1. 로그인 인증 시 MFA(멀티팩터인증) 사용 [MFA(멀티팩터인증)를 활용한 크리덴셜 스터핑 방어]로그인 기능에서 MFA(멀티팩터인증)[4]를 사용하면 크리덴셜 스터핑 공격을 방지할 수 있다. 아이디와 비밀번호 입력 후 다른 인증 요소를 사용한 2차 인증이 추가로 요구되기 때문이다. 따라서 다크웹에 중요 계정이 유출되더라도 비인가자가 도용한 계정 정보로 접근하지 못하게 방어할 수 있다.[4] MFA(멀티팩터인증): 로그인 시 최소 두가지 이상 인증 요소를 이용하여 본인 여부를 검증2. 로그인 시 CAPTCHA 기능 구현[구글에서 제공하는 봇 방지 API (reCAPTCHA)]크리덴셜 스터핑은 해커의 작업 효율성을 위해 악성 봇을 이용해 수행된다. 해커는 다크웹에서 구매한 계정 정보를 봇을 이용해 다수의 웹사이트 로그인 폼에 대입하는 시도를 반복하는데 이 때 봇을 방지하는 CAPTCHA가 로그인 기능에 구현되어 있을 경우 봇을 이용한 크리덴셜 스터핑을 방지할 수 있다. 3. 안전한 비밀번호 설정여러 온라인 서비스에 동일한 ID, 비밀번호를 사용할 경우 크리덴셜 스터핑을 통해 정보 유출 피해가 발생할 수 있기 때문에, 규칙을 정해 온라인 서비스 별 서로 다른 비밀번호를 설정해야 한다. 하나의 안전한 비밀번호를 정하고 사이트마다 도메인의 일부를 조합하여 비밀번호를 설정하는 방법이 가장 기억하기 쉽고 안전하다.Step 1) 안전한 비밀번호 생성하기충분히 길고 높은 복잡도의 비밀번호를 설정할 경우 비밀번호를 유추하는데 오랜 시간이 걸리는 것을 알 수 있다. 따라서 최소 10자리 이상, 대소문자, 숫자, 특수문자 중 3종류 조합으로 비밀번호 설정하는 것을 권고한다.Ex) infosec123![비밀번호 복잡도에 따른 크랙 시간]Step 2) 사이트마다 다른 비밀번호 만들기각 사이트의 도메인에서 자신만의 규칙을 정해 비밀번호 앞, 또는 뒤에 조합한다.[비밀번호 생성 규칙][예시] 도메인의 앞 3글자를 비밀번호 앞에 붙임인스타그램인 경우 ‘ins’, 페이스북이면 'fac', 구글이면 'goo', 네이트는 'nat'Ex) insinfosec123!, facinfosec123!, gooinfosec123!, natinfosec123!■ 결론금융권과 정부는 이미 다크웹과 크리덴셜 스터핑의 위험성을 인지하고 발생할 수 있는 피해를 최소화하기 위해 다방면으로 노력하고 있다. 금융보안원은 클롭(Clop) 조직의 카드 정보 유출 사건을 계기로 다크웹에서 발생하는 위협을 지속적으로 모니터링하고 카드 정보 유출에 의한 소비자의 2차 피해를 방지하고 있다. 또한 개인정보보호위원회는 ‘개인정보 보호 활용 기술 R&D 로드맵(‘22~’26)’에서 2023년부터 다크웹 접속 및 개인정보 검색 기술 개발에 착수하고 2026년까지 다크웹 개인정보 불법거래 기술을 개발할 계획이라고 밝혔다. 이러한 흐름에 맞춰 기업의 보안 담당자 역시 다크웹과 크리덴셜 스터핑의 위험성을 인지하고 관심을 가져야 할 필요가 있다.다크웹에서 유통되는 개인 정보는 언제, 어디서 유출되었는지 확인하기 어렵다. 또한 자사의 보안 취약점을 최소화하더라도 타사에서 유출된 개인 정보로 인해 크리덴셜 스터핑의 피해자가 될 수 있다. 개인 정보 거래 시장이 확장함에 따라 크리덴셜 스터핑 공격은 지속해서 증가할 전망이기 때문에 이러한 피해를 방지하기 위해 기업의 보안 취약점을 최소화하려는 노력이 필요하다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2022 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.1점 / 27명 참여