2017.11.17

데이터 유출보다 피싱을 두려워해야 하는 이유…구글 연구

Steve Ragan | CSO
어떤 이들은 구글이 신원(Identity)의 대부분을 온라인으로 관리하는데, 이런 필수적인 계정에 접근할 수 없게 되면 치명적일 수 있다고 주장했다. 최근 구글과 UC 버클리(UC Berkeley)의 최근 연구에서 계정을 해킹할 수 있는 다양한 방법을 설명하고 접근성 상실과 관련해 데이터 유출이 아닌 피싱(Phishing) 공격이 사용자에게 가장 큰 위험을 가할 수 있다고 판단했다.

구글의 최근 연구는 2016년 3월부터 2017년 3월까지 1년 동안 진행됐으며 공격자들이 계정을 탈취하는 방법을 파악했다. 피싱, 키로깅(Keylogging), 데이터 유출이 모두에게 영향을 끼치지만 구글은 자체적으로 사례 연구에 집중했다.

해당 연구의 저자인 커트 토마스와 앤젤리카 모스키키는 "이번 연구를 통해 발견한 사실의 유용성이 곧 입증됐다"고 말했다. 사실 이 데이터는 6,700만 개의 구글 계정을 악용하기 전에 보호하는데 도움이 되었다.

구글의 연구에는 피싱과 키로깅에 사용한 2만 5,000개의 악성 툴에서 얻은 데이터가 포함되어 있었으며, 이를 통해 연구원들은 키로거(Keylogger)로 인한 78만 8,000개의 해킹된 크리덴셜(Credential), 피싱을 통해 해킹된 1,200만 개의 크리덴셜, 데이터 유출로 인해 노출된 33억 개의 크리덴셜을 확인할 수 있었다. 구글은 크리덴셜 해킹을 위해 피싱 키트와 키로거를 사용하는 대부분의 사람이 나이지리아에 집중되어 있었으며, 미국, 모로코, 남아프리카, 영국, 말레이시아가 그 뒤를 이었다고 밝혔다.

이런 발견 사항은 정곡을 찌른다. 최근 본지는 해킹된 계정을 이용해 범위를 확장하는 여러 오피스 365(Office 365) 피싱 공격을 추적했다. 받은편지함에 도착한 공격 중 다수를 나이지리아에서 추적할 수 있었다.

일부 피싱 키트는 기본적이지만, 필수적인 기능을 제공한다. 즉, 사용자가 문제가 있다고 생각하게끔 만들고 누군가 자신의 비밀번호와 기타 신원정보를 공유하도록 속이기에 충분해 보인다. 구글이 목격한 피싱 키트 가운데 일부는 IP 주소, 기기 제조업체와 모델, 전화번호, 위치 등 구글이 ID 인증을 위해 요청할 수 있는 추가적인 세부사항을 수집하고 있었다.

구글이 수집한 데이터에 따르면, 관찰된 전체 피싱 키트의 80%가 사용자 이름, 비밀번호, 지리적 위치를 표적으로 삼았으며 전화번호와 기기 세부사항이 뒤를 이었다. 소규모 피싱 키트도 보안 질문, 성명, 신용카드 데이터, 사회보장번호를 표적으로 삼았다. 이 때문에 구글은 피싱이 가장 큰 위협이라고 판단했다고 설명했으며 키로깅이 간발의 차이로 그 뒤를 이었다.

구글은 이 데이터에 기초해 데이터 유출로 인해 노출된 비밀번호의 7%만 사용자가 사용했던 반면에 피싱 또는 키로깅으로 노출된 비밀번호는 12% 또는 25%나 사용했다고 밝혔다. 마찬가지로 비밀번호 재사용이 흔한 서비스에 대해서는 영향력이 컸지만 데이터 유출은 순위가 가장 낮았다.

이 연구기간 중 구글은 안타깝게도 피싱 공격 피해자인 대부분의 사용자가 자신의 계정이 위험에 처해 있음을 몰랐다고 밝혔다. 하지만 수집된 데이터에서 대부분의 피해자들은 한 번만 영향을 받았으며, 그 이유는 데이터세트에 있는 사람들 중 2%만이 두 번째 피싱에도 속았기 때문이었다.

이 모든 데이터를 종합했을 때, 피싱과 키로깅 피해자들의 상위 3개 도메인(Domain)은 지메일(Gmail), 야후(Yahoo), 핫메일(Hotmail)이었다. 피싱 피해자의 대부분은 미국에 있으며 키로깅 피해자는 대부분 브라질과 인도에 있다.

이번 구글의 연구에서는 지메일, 야후, 핫메일이 상위를 차지했고 직장 이메일 계정인 드롭박스(Dropbox), 구글 드라이브(Google Drive), 다큐사인(DocuSign), 줌인포(ZoomInfo), 오피스 365, AOL이 그 뒤를 이었다.

또한 이 연구에서 이중 인증이 피싱과 관련된 문제를 완화하는데 도움이 되지만 광범위한 도입을 위해서는 사용 편의성, 손실 복구, 소비자를 신뢰하는 제 3자로 안내하는 등의 심각한 장애물이 남아 있다. 구글은 CCS(Conference on Computer and Communications Security)에서 이 발견사항을 발표했으며 전체 자료는 온라인으로 제공된다. editor@itworld.co.kr  


2017.11.17

데이터 유출보다 피싱을 두려워해야 하는 이유…구글 연구

Steve Ragan | CSO
어떤 이들은 구글이 신원(Identity)의 대부분을 온라인으로 관리하는데, 이런 필수적인 계정에 접근할 수 없게 되면 치명적일 수 있다고 주장했다. 최근 구글과 UC 버클리(UC Berkeley)의 최근 연구에서 계정을 해킹할 수 있는 다양한 방법을 설명하고 접근성 상실과 관련해 데이터 유출이 아닌 피싱(Phishing) 공격이 사용자에게 가장 큰 위험을 가할 수 있다고 판단했다.

구글의 최근 연구는 2016년 3월부터 2017년 3월까지 1년 동안 진행됐으며 공격자들이 계정을 탈취하는 방법을 파악했다. 피싱, 키로깅(Keylogging), 데이터 유출이 모두에게 영향을 끼치지만 구글은 자체적으로 사례 연구에 집중했다.

해당 연구의 저자인 커트 토마스와 앤젤리카 모스키키는 "이번 연구를 통해 발견한 사실의 유용성이 곧 입증됐다"고 말했다. 사실 이 데이터는 6,700만 개의 구글 계정을 악용하기 전에 보호하는데 도움이 되었다.

구글의 연구에는 피싱과 키로깅에 사용한 2만 5,000개의 악성 툴에서 얻은 데이터가 포함되어 있었으며, 이를 통해 연구원들은 키로거(Keylogger)로 인한 78만 8,000개의 해킹된 크리덴셜(Credential), 피싱을 통해 해킹된 1,200만 개의 크리덴셜, 데이터 유출로 인해 노출된 33억 개의 크리덴셜을 확인할 수 있었다. 구글은 크리덴셜 해킹을 위해 피싱 키트와 키로거를 사용하는 대부분의 사람이 나이지리아에 집중되어 있었으며, 미국, 모로코, 남아프리카, 영국, 말레이시아가 그 뒤를 이었다고 밝혔다.

이런 발견 사항은 정곡을 찌른다. 최근 본지는 해킹된 계정을 이용해 범위를 확장하는 여러 오피스 365(Office 365) 피싱 공격을 추적했다. 받은편지함에 도착한 공격 중 다수를 나이지리아에서 추적할 수 있었다.

일부 피싱 키트는 기본적이지만, 필수적인 기능을 제공한다. 즉, 사용자가 문제가 있다고 생각하게끔 만들고 누군가 자신의 비밀번호와 기타 신원정보를 공유하도록 속이기에 충분해 보인다. 구글이 목격한 피싱 키트 가운데 일부는 IP 주소, 기기 제조업체와 모델, 전화번호, 위치 등 구글이 ID 인증을 위해 요청할 수 있는 추가적인 세부사항을 수집하고 있었다.

구글이 수집한 데이터에 따르면, 관찰된 전체 피싱 키트의 80%가 사용자 이름, 비밀번호, 지리적 위치를 표적으로 삼았으며 전화번호와 기기 세부사항이 뒤를 이었다. 소규모 피싱 키트도 보안 질문, 성명, 신용카드 데이터, 사회보장번호를 표적으로 삼았다. 이 때문에 구글은 피싱이 가장 큰 위협이라고 판단했다고 설명했으며 키로깅이 간발의 차이로 그 뒤를 이었다.

구글은 이 데이터에 기초해 데이터 유출로 인해 노출된 비밀번호의 7%만 사용자가 사용했던 반면에 피싱 또는 키로깅으로 노출된 비밀번호는 12% 또는 25%나 사용했다고 밝혔다. 마찬가지로 비밀번호 재사용이 흔한 서비스에 대해서는 영향력이 컸지만 데이터 유출은 순위가 가장 낮았다.

이 연구기간 중 구글은 안타깝게도 피싱 공격 피해자인 대부분의 사용자가 자신의 계정이 위험에 처해 있음을 몰랐다고 밝혔다. 하지만 수집된 데이터에서 대부분의 피해자들은 한 번만 영향을 받았으며, 그 이유는 데이터세트에 있는 사람들 중 2%만이 두 번째 피싱에도 속았기 때문이었다.

이 모든 데이터를 종합했을 때, 피싱과 키로깅 피해자들의 상위 3개 도메인(Domain)은 지메일(Gmail), 야후(Yahoo), 핫메일(Hotmail)이었다. 피싱 피해자의 대부분은 미국에 있으며 키로깅 피해자는 대부분 브라질과 인도에 있다.

이번 구글의 연구에서는 지메일, 야후, 핫메일이 상위를 차지했고 직장 이메일 계정인 드롭박스(Dropbox), 구글 드라이브(Google Drive), 다큐사인(DocuSign), 줌인포(ZoomInfo), 오피스 365, AOL이 그 뒤를 이었다.

또한 이 연구에서 이중 인증이 피싱과 관련된 문제를 완화하는데 도움이 되지만 광범위한 도입을 위해서는 사용 편의성, 손실 복구, 소비자를 신뢰하는 제 3자로 안내하는 등의 심각한 장애물이 남아 있다. 구글은 CCS(Conference on Computer and Communications Security)에서 이 발견사항을 발표했으며 전체 자료는 온라인으로 제공된다. editor@itworld.co.kr  


X