2018.03.30

제 3자 데이터 유출로 인한 14억 개의 비밀번호가 갖는 의미

J.M. Porup | CSO
제 3자 데이터 유출로부터 얻은 10억 개 이상의 평문 비밀번호가 인터넷에서 무료로 제공되고 있다. 특히 사람은 여러 서비스에서 비밀번호를 재사용하는 경향이 있으며, 이런 크리덴셜(Credential) 가운데 일부는 수년 동안 사용되었기 때문에 특히 중소규모 기업에 심각한 위협이 되고 있다.



수년 동안 비밀번호 데이터가 범죄자 포럼에서 거래되었지만 지난 6개월 동안 순수한 비밀번호의 양 때문에 가격이 아주 낮은 수준으로 떨어졌다. 2017년, 누군가 이전에 노출된 14억 개의 크리덴셜 모음을 무료로 제공했다.

크리덴셜은 토르(Tor)를 사용하느라 고생할 필요없이 검색 엔진과 토렌트(Torrent) 클라이언트만 사용할 줄 아는 사람이라면 누구나 무료로 확보할 수 있다.

B&D(Bits & Digits)의 공동 설립자 J. 테이트는 "역사상 전례 없는 일이다"며, "유출 데이터는 다크넷(Dark Net)에서 찾을 수 있다고 말하곤 했다. 하지만 이제는 공개적으로 원하는 곳에서 찾고 사용할 수 있게 되었다"고 말했다.

이 이야기를 접하면서 본지는 유출된 데이터에서 IDG 뿐만 아니라 IDG의 계열사 전현직 직원들에게 속한 수천 개의 업무용 이메일 주소와 오래된 비밀번호를 발견했다. 본지는 IT 부서와 함께 유출 당시 비밀번호가 맞는지 알아보고 유출된 비밀번호는 재등록한 것을 확인했다.

이 귀중한 데이터에는 경찰, 군사 및 스파이를 포함해 전 세계 여러 정부에서 근무하는 사람들의 이메일 주소와 비밀번호도 포함되어 있다. 미국 NSA(National Security Agency)는 해당 기관은 이렇게 유출된 크리덴셜로 인해 영향을 받지 않을 것이라고 안심시키기는 했지만 @nsa.gov 이메일 계정이 있는 사용자도 이 데이터에 포함되어 있다는 점이 불안한 것이다. 하지만 NSA처럼 위협의 양이나 질을 따지는 조직은 거의 없다.

토르만 나무라지 말자
준법을 중시하는 이는 토르를 비난하고 다크 웹(Dark Web)에 대해 떠들기를 좋아하지만 이런 제 3자 유출의 크리덴셜 등은 토르 없이도 클리어넷(Clearnet)에서 토렌트 파일로 무료로 제공된다.

토르는 전 세계 언론인들을 위한 필수적인 툴이며 "다크넷 사용자"를 마녀 사냥하는 사람들은 범죄자가 클리어넷에서 제 3자 유출 크리덴셜을 다운로드하고 그 과정에서 민주주의를 해치지 못하도록 하기 위해서는 아무런 일도 하지 않는다. 이 기사에서는 제 3자 유출 크리덴셜에 대한 링크를 제공하지 않겠지만 구글(Google)에서 누구나 쉽게 찾을 수 있다.

미국 국토안보부(Department of Homeland Security)와 법무부(Department of Justice)의 이메일 주소와 비밀번호가 이 데이터 속에 포함되어 있는데, 자체 기관들이 아무런 영향을 받지 않았다고 본지에 밝혔다. 또한 뱅크오브아메리카(Bank of America)와 웰스파고(Wells Fargo)도 같은 반응을 보였다. 마찬가지로 구글과 애플도 이런 형태의 유출 데이터를 선제적으로 검색해 사용자들이 비밀번호를 변경하도록 했기 때문에 이 유출 데이터에 포함된 수억 개의 지메일(Gmail) 및 아이클라우드(iCloud) 계정이 영향을 받지 않았다고 밝혔다.

하지만 중소기업들은 토렌트 클라이언트를 이용해 제 3자 유출 데이터를 다운로드하고 기존 직원 목록에 대한 교차 참조를 하는 등 기본적인 것을 포함해 일반적으로 주요 은행 또는 정부 기관 또는 기술 대기업 등과 같은 종류의 위협 정보를 소비하지 않는다.

이로 인해 많은 기업과 지역 정부가 정교하지 못한 공격자들에 의한 "크리덴셜 스터핑(Credential Stuffing)"이라는 비밀번호 재사용 공격의 위험에 처하게 된다. 이런 사소하지만 엄청난 공격에 대한 방어는 인간 속성의 현실을 수용하고 직원 또는 고객의 비밀번호 재사용을 비난하는 것이 헛되다는 것을 인지하는 것부터 시작된다. 사람들이 강력한 비밀번호를 잘 선택해 기억하지 못한다는 점을 인정하고 거기에서부터 시작하는 것이 훨씬 낫다.

데이터, 유출된 적이 있는가
쉽게 알아볼 수 있는 방법이 있다. 트로이 헌트(Troy Hunt)의 HIBP(Have I Been Pwned)에서는 50억 개의 유출된 비밀번호에 가깝게 색인하고 계정이 영향을 받았는지 손쉽게 확인할 수 있다. 새로운 NS(No Secrets)도 유사한 무료 서비스를 제공한다.

보안 관리자는 제 3자 데이터 유출에 대한 토렌트 파일을 손쉽게 찾아 다양한 데이터를 다운로드할 수 있다. 결과를 살펴보면 영향을 받은 사용자 또는 직원을 신속하게 확인할 수 있다. 조직에서 유출된 모든 비밀번호를 블랙리스트로 처리하자. 이것이 NIST SP 800-63B(아래 참조)에 따른 우수 사례다.

비밀번호 문제
"알고 있는 것"(비밀번호 등)에 기초한 단일 요소 인증은 더 이상 용인할 수 있는 우수 사례가 아니다. 아이오와대학교(University of Iowa)의 교수 더글라스 W. 존스는 "비밀번호가 형편없는 시스템이라는 점에 동의한다"며, "누군가 나의 기존 비밀번호를 알고 있다면 시스템에 침투할 수 있다. 살던 곳의 이름과 우편번호 등으로 비밀번호를 만드는 습관이 있다면 나의 페이스북 게시물 등을 뒤져 내가 과거에 살던 곳을 찾아낼 수 있다"고 말했다.

실제로 제 3자 비밀번호 유출을 탐색해 보면 사람들이 배우자와 자녀, 기도문 및 좋아하는 장소나 축구팀 등의 이름을 매우 좋아한다는 사실을 알 수 있다. 이런 비밀번호는 더 이상 유효하지 않지만 사람들의 비밀을 볼 수 있는 창문은 여전히 열려 있다.

이런 거대한 무료 비밀번호 데이터로 인해 공격 비용이 크게 감소했다. 비밀번호 재사용 또는 비밀번호 추측 공격은 스크립트 작성 초보자도 할 수 있다. 조직을 이런 위협으로부터 보호하는 것은 기본적인 상당한 주의이다. 이런 상당한 주의는 어떤 모습일까.

크리덴셜 스터핑 공격, 방어하기
크리덴셜 스터핑(Credential Stuffing) 공격에 대응하기 위해 모든 조직이 준수해야 하는 기본적인 5단계는 다음과 같다.

1. 의무적인 비밀번호 순환을 끝내라
지난 해, 표준 기관 NIST는 새로운 비밀번호 우수 사례(SP 800-63B)를 설정했다. 사용자들이 30, 60 또는 90일 만에 비밀번호를 변경하도록 강제하지 말고 대문자, 소문자 및 특수문자를 혼용하도록 강제하지 말라는 것이다. 조직이 해킹을 당했다고 생각할 만한 이유가 있거나 새로운 제 3자 데이터 유출이 직원 또는 사용자에 영향을 끼치는 경우에만 사용자들이 비밀번호를 변경하도록 강제해야 한다. NIST는 다음과 같이 밝혔다.

"입증자는 기억된 비밀을 위한 다른 구성 규칙(다른 문자 유형 요구 또는 연속적으로 반복되는 문자 금지 등)을 부여해야 한다. 입증자는 기억된 비밀을 임의로(정기적으로) 변경하도록 요구하지 않아야 한다. 하지만 입증자는 인증자의 해킹에 대한 증거가 있는 경우 변경을 강제한다."

사람들이 비밀번호를 자주 변경하도록 강제하면 부실한 비밀번호를 사용하게 된다.

2. 비밀번호 관리자를 사용하라
로컬 키패스X(KeePassX) 데이터베이스에 저장되어 있는 무작위로 생성된 40글자 비밀번호는 알려진 모든 비밀번호 재사용 공격을 무용지물로 만든다. 모든 비밀번호가 다르다면 비밀번호 재사용은 없다. 사용자는 비밀번호 관리자의 기억하기 쉽고 추측이 어려운 7단어 다이스웨어 패스프레이즈(Diceware Passphrase) 등의 마스터 비밀번호만 기억하면 된다. NIST는 다음과 같이 밝혔다.

"입증자는 청구인이 기억된 비밀을 입력할 때 "붙여 넣기" 기능을 사용하도록 허용해야 한다. 이를 통해 널리 사용되고 있으며 많은 경우에 사용자가 더욱 강력한 기억된 비밀을 사용할 가능성을 높이는 비밀번호 관리자의 사용이 용이하게 된다."

3. 유출된 모든 비밀번호를 블랙리스트 처리하라
수십 억 개의 유출된 비밀번호를 다운로드해 모두 블랙리스트 처리한다. 자신과 마찬가지로 공격자들도 사본이 있다. 조직의 그 누구도 이런 비밀번호를 절대로 영원히 사용해서는 안 된다. NIST는 다음과 같이 밝혔다.

기억된 비밀 수립 및 변경 요청 처리 시 입증자는 유망한 비밀을 공통 사용, 예측 또는 해킹된 것으로 알려진 값이 포함된 목록과 비교해야 한다. 예를 들어, 목록에는 다음이 포함될 수 있으며 이에 국한되지 않는다.
- 이전 유출 데이터에서 획득한 비밀번호.
- 사전에 있는 단어.
- 반복되거나 순차적인 문자('aaaaaa', '1234abcd' 등).
- 서비스 이름, 사용자 이름 및 그 파생어 등 상황에 따른 단어


이런 비밀번호 데이터에 있는 모든 비밀번호를 블랙리스트 처리하는 것이 공격자들의 기대치를 낮추는 단순하고 상대적으로 편한 방법이다. 이런 비밀번호 데이터는 공짜로 다운로드할 수 있으며 분석에도 많은 시간이 소요되지 않는다. IDG의 비밀번호 획득에 수 시간이 소요되었다. 사용자 경보에는 수일이 걸렸다.

4. 비밀번호를 절대로 재사용하지 말라
사용자가 같은 비밀번호를 절대로 2번 사용하지 않도록 하는 것이 지금의 우수 사례다. 즉, 지난 5~10회의 비밀번호 변경뿐만 아니라 기존의 비밀번호 해시(Hash)를 저장하는 것을 의미하며, 지금의 보편적인 사례와도 같다. 기존의 비밀번호 해시를 삭제하면 사용자는 정말로 오래된 비밀번호, 앞서 언급한 창문으로 기능한 비밀번호, 정말로 좋아하는 비밀번호 및 제 3자 데이터 유출 덤프에 포함된 비밀번호를 재사용할 수 있다.

5. 2FA를 의무화하라
하지만 이 모든 권고사항 중에서 가장 중요한 것은 하드웨어 토큰(Token)을 이용한 이중 인증을 사용하는 것이다. 사용자가 2FA를 활성화하면 비밀번호 재사용이 의미가 없어지며 하드웨어 토큰은 사용자의 휴대전화에 있는 앱보다 더 안전하다. 모든 것을 2FA로 한다.

상당한 주의라는 의미
크리덴셜 스터핑은 비 직관적인 속성 때문에 과소평가되고 있는 심각한 공격 요소다. 희소식은 완화 비용이 저렴하고 효과적이라는 점이지만 보안 관리자는 경영진의 지원을 받아 노력을 쏟아야 한다. 즉, NIST 지침을 준수하고 제대로 이해한 우수 사례를 배치해야 한다. 이해하기 어려울 것이 없다. 이것이 상당한 주의이다. 이제 자신의 일을 하자. editor@itworld.co.kr
 

2018.03.30

제 3자 데이터 유출로 인한 14억 개의 비밀번호가 갖는 의미

J.M. Porup | CSO
제 3자 데이터 유출로부터 얻은 10억 개 이상의 평문 비밀번호가 인터넷에서 무료로 제공되고 있다. 특히 사람은 여러 서비스에서 비밀번호를 재사용하는 경향이 있으며, 이런 크리덴셜(Credential) 가운데 일부는 수년 동안 사용되었기 때문에 특히 중소규모 기업에 심각한 위협이 되고 있다.



수년 동안 비밀번호 데이터가 범죄자 포럼에서 거래되었지만 지난 6개월 동안 순수한 비밀번호의 양 때문에 가격이 아주 낮은 수준으로 떨어졌다. 2017년, 누군가 이전에 노출된 14억 개의 크리덴셜 모음을 무료로 제공했다.

크리덴셜은 토르(Tor)를 사용하느라 고생할 필요없이 검색 엔진과 토렌트(Torrent) 클라이언트만 사용할 줄 아는 사람이라면 누구나 무료로 확보할 수 있다.

B&D(Bits & Digits)의 공동 설립자 J. 테이트는 "역사상 전례 없는 일이다"며, "유출 데이터는 다크넷(Dark Net)에서 찾을 수 있다고 말하곤 했다. 하지만 이제는 공개적으로 원하는 곳에서 찾고 사용할 수 있게 되었다"고 말했다.

이 이야기를 접하면서 본지는 유출된 데이터에서 IDG 뿐만 아니라 IDG의 계열사 전현직 직원들에게 속한 수천 개의 업무용 이메일 주소와 오래된 비밀번호를 발견했다. 본지는 IT 부서와 함께 유출 당시 비밀번호가 맞는지 알아보고 유출된 비밀번호는 재등록한 것을 확인했다.

이 귀중한 데이터에는 경찰, 군사 및 스파이를 포함해 전 세계 여러 정부에서 근무하는 사람들의 이메일 주소와 비밀번호도 포함되어 있다. 미국 NSA(National Security Agency)는 해당 기관은 이렇게 유출된 크리덴셜로 인해 영향을 받지 않을 것이라고 안심시키기는 했지만 @nsa.gov 이메일 계정이 있는 사용자도 이 데이터에 포함되어 있다는 점이 불안한 것이다. 하지만 NSA처럼 위협의 양이나 질을 따지는 조직은 거의 없다.

토르만 나무라지 말자
준법을 중시하는 이는 토르를 비난하고 다크 웹(Dark Web)에 대해 떠들기를 좋아하지만 이런 제 3자 유출의 크리덴셜 등은 토르 없이도 클리어넷(Clearnet)에서 토렌트 파일로 무료로 제공된다.

토르는 전 세계 언론인들을 위한 필수적인 툴이며 "다크넷 사용자"를 마녀 사냥하는 사람들은 범죄자가 클리어넷에서 제 3자 유출 크리덴셜을 다운로드하고 그 과정에서 민주주의를 해치지 못하도록 하기 위해서는 아무런 일도 하지 않는다. 이 기사에서는 제 3자 유출 크리덴셜에 대한 링크를 제공하지 않겠지만 구글(Google)에서 누구나 쉽게 찾을 수 있다.

미국 국토안보부(Department of Homeland Security)와 법무부(Department of Justice)의 이메일 주소와 비밀번호가 이 데이터 속에 포함되어 있는데, 자체 기관들이 아무런 영향을 받지 않았다고 본지에 밝혔다. 또한 뱅크오브아메리카(Bank of America)와 웰스파고(Wells Fargo)도 같은 반응을 보였다. 마찬가지로 구글과 애플도 이런 형태의 유출 데이터를 선제적으로 검색해 사용자들이 비밀번호를 변경하도록 했기 때문에 이 유출 데이터에 포함된 수억 개의 지메일(Gmail) 및 아이클라우드(iCloud) 계정이 영향을 받지 않았다고 밝혔다.

하지만 중소기업들은 토렌트 클라이언트를 이용해 제 3자 유출 데이터를 다운로드하고 기존 직원 목록에 대한 교차 참조를 하는 등 기본적인 것을 포함해 일반적으로 주요 은행 또는 정부 기관 또는 기술 대기업 등과 같은 종류의 위협 정보를 소비하지 않는다.

이로 인해 많은 기업과 지역 정부가 정교하지 못한 공격자들에 의한 "크리덴셜 스터핑(Credential Stuffing)"이라는 비밀번호 재사용 공격의 위험에 처하게 된다. 이런 사소하지만 엄청난 공격에 대한 방어는 인간 속성의 현실을 수용하고 직원 또는 고객의 비밀번호 재사용을 비난하는 것이 헛되다는 것을 인지하는 것부터 시작된다. 사람들이 강력한 비밀번호를 잘 선택해 기억하지 못한다는 점을 인정하고 거기에서부터 시작하는 것이 훨씬 낫다.

데이터, 유출된 적이 있는가
쉽게 알아볼 수 있는 방법이 있다. 트로이 헌트(Troy Hunt)의 HIBP(Have I Been Pwned)에서는 50억 개의 유출된 비밀번호에 가깝게 색인하고 계정이 영향을 받았는지 손쉽게 확인할 수 있다. 새로운 NS(No Secrets)도 유사한 무료 서비스를 제공한다.

보안 관리자는 제 3자 데이터 유출에 대한 토렌트 파일을 손쉽게 찾아 다양한 데이터를 다운로드할 수 있다. 결과를 살펴보면 영향을 받은 사용자 또는 직원을 신속하게 확인할 수 있다. 조직에서 유출된 모든 비밀번호를 블랙리스트로 처리하자. 이것이 NIST SP 800-63B(아래 참조)에 따른 우수 사례다.

비밀번호 문제
"알고 있는 것"(비밀번호 등)에 기초한 단일 요소 인증은 더 이상 용인할 수 있는 우수 사례가 아니다. 아이오와대학교(University of Iowa)의 교수 더글라스 W. 존스는 "비밀번호가 형편없는 시스템이라는 점에 동의한다"며, "누군가 나의 기존 비밀번호를 알고 있다면 시스템에 침투할 수 있다. 살던 곳의 이름과 우편번호 등으로 비밀번호를 만드는 습관이 있다면 나의 페이스북 게시물 등을 뒤져 내가 과거에 살던 곳을 찾아낼 수 있다"고 말했다.

실제로 제 3자 비밀번호 유출을 탐색해 보면 사람들이 배우자와 자녀, 기도문 및 좋아하는 장소나 축구팀 등의 이름을 매우 좋아한다는 사실을 알 수 있다. 이런 비밀번호는 더 이상 유효하지 않지만 사람들의 비밀을 볼 수 있는 창문은 여전히 열려 있다.

이런 거대한 무료 비밀번호 데이터로 인해 공격 비용이 크게 감소했다. 비밀번호 재사용 또는 비밀번호 추측 공격은 스크립트 작성 초보자도 할 수 있다. 조직을 이런 위협으로부터 보호하는 것은 기본적인 상당한 주의이다. 이런 상당한 주의는 어떤 모습일까.

크리덴셜 스터핑 공격, 방어하기
크리덴셜 스터핑(Credential Stuffing) 공격에 대응하기 위해 모든 조직이 준수해야 하는 기본적인 5단계는 다음과 같다.

1. 의무적인 비밀번호 순환을 끝내라
지난 해, 표준 기관 NIST는 새로운 비밀번호 우수 사례(SP 800-63B)를 설정했다. 사용자들이 30, 60 또는 90일 만에 비밀번호를 변경하도록 강제하지 말고 대문자, 소문자 및 특수문자를 혼용하도록 강제하지 말라는 것이다. 조직이 해킹을 당했다고 생각할 만한 이유가 있거나 새로운 제 3자 데이터 유출이 직원 또는 사용자에 영향을 끼치는 경우에만 사용자들이 비밀번호를 변경하도록 강제해야 한다. NIST는 다음과 같이 밝혔다.

"입증자는 기억된 비밀을 위한 다른 구성 규칙(다른 문자 유형 요구 또는 연속적으로 반복되는 문자 금지 등)을 부여해야 한다. 입증자는 기억된 비밀을 임의로(정기적으로) 변경하도록 요구하지 않아야 한다. 하지만 입증자는 인증자의 해킹에 대한 증거가 있는 경우 변경을 강제한다."

사람들이 비밀번호를 자주 변경하도록 강제하면 부실한 비밀번호를 사용하게 된다.

2. 비밀번호 관리자를 사용하라
로컬 키패스X(KeePassX) 데이터베이스에 저장되어 있는 무작위로 생성된 40글자 비밀번호는 알려진 모든 비밀번호 재사용 공격을 무용지물로 만든다. 모든 비밀번호가 다르다면 비밀번호 재사용은 없다. 사용자는 비밀번호 관리자의 기억하기 쉽고 추측이 어려운 7단어 다이스웨어 패스프레이즈(Diceware Passphrase) 등의 마스터 비밀번호만 기억하면 된다. NIST는 다음과 같이 밝혔다.

"입증자는 청구인이 기억된 비밀을 입력할 때 "붙여 넣기" 기능을 사용하도록 허용해야 한다. 이를 통해 널리 사용되고 있으며 많은 경우에 사용자가 더욱 강력한 기억된 비밀을 사용할 가능성을 높이는 비밀번호 관리자의 사용이 용이하게 된다."

3. 유출된 모든 비밀번호를 블랙리스트 처리하라
수십 억 개의 유출된 비밀번호를 다운로드해 모두 블랙리스트 처리한다. 자신과 마찬가지로 공격자들도 사본이 있다. 조직의 그 누구도 이런 비밀번호를 절대로 영원히 사용해서는 안 된다. NIST는 다음과 같이 밝혔다.

기억된 비밀 수립 및 변경 요청 처리 시 입증자는 유망한 비밀을 공통 사용, 예측 또는 해킹된 것으로 알려진 값이 포함된 목록과 비교해야 한다. 예를 들어, 목록에는 다음이 포함될 수 있으며 이에 국한되지 않는다.
- 이전 유출 데이터에서 획득한 비밀번호.
- 사전에 있는 단어.
- 반복되거나 순차적인 문자('aaaaaa', '1234abcd' 등).
- 서비스 이름, 사용자 이름 및 그 파생어 등 상황에 따른 단어


이런 비밀번호 데이터에 있는 모든 비밀번호를 블랙리스트 처리하는 것이 공격자들의 기대치를 낮추는 단순하고 상대적으로 편한 방법이다. 이런 비밀번호 데이터는 공짜로 다운로드할 수 있으며 분석에도 많은 시간이 소요되지 않는다. IDG의 비밀번호 획득에 수 시간이 소요되었다. 사용자 경보에는 수일이 걸렸다.

4. 비밀번호를 절대로 재사용하지 말라
사용자가 같은 비밀번호를 절대로 2번 사용하지 않도록 하는 것이 지금의 우수 사례다. 즉, 지난 5~10회의 비밀번호 변경뿐만 아니라 기존의 비밀번호 해시(Hash)를 저장하는 것을 의미하며, 지금의 보편적인 사례와도 같다. 기존의 비밀번호 해시를 삭제하면 사용자는 정말로 오래된 비밀번호, 앞서 언급한 창문으로 기능한 비밀번호, 정말로 좋아하는 비밀번호 및 제 3자 데이터 유출 덤프에 포함된 비밀번호를 재사용할 수 있다.

5. 2FA를 의무화하라
하지만 이 모든 권고사항 중에서 가장 중요한 것은 하드웨어 토큰(Token)을 이용한 이중 인증을 사용하는 것이다. 사용자가 2FA를 활성화하면 비밀번호 재사용이 의미가 없어지며 하드웨어 토큰은 사용자의 휴대전화에 있는 앱보다 더 안전하다. 모든 것을 2FA로 한다.

상당한 주의라는 의미
크리덴셜 스터핑은 비 직관적인 속성 때문에 과소평가되고 있는 심각한 공격 요소다. 희소식은 완화 비용이 저렴하고 효과적이라는 점이지만 보안 관리자는 경영진의 지원을 받아 노력을 쏟아야 한다. 즉, NIST 지침을 준수하고 제대로 이해한 우수 사례를 배치해야 한다. 이해하기 어려울 것이 없다. 이것이 상당한 주의이다. 이제 자신의 일을 하자. editor@itworld.co.kr
 

X