2016.06.20

글로벌 칼럼 | 해커에게 오래된 비밀번호의 가치란

Robert McCarthy | Computerworld
해커들은 사용자가 매일 사용하는 새로운 서비스를 공격하는데, 수년 전 도난당한 오래된 비밀번호를 사용하기 시작했다. 다른 서비스를 해킹하기 위해 오래 전에 다른 서비스에서 훔친 비밀번호의 사용하는 것은 최근 떠오르는 추세 가운데 하나다.

최근 트위터, 링크드인, 마이스페이스 등에서 비밀번호를 훔친 이들은 16년 된 마이스페이스(MySpace) 계정에 게재된 것으로 공격을 시도한 것으로 알려져 화제가 됐다.

첫번째 당황스러운 것은 비밀번호를 유출한 채로 수년이 지나는 것은 그리 큰일도 아니라는 점이다.

5년 또는 10년 전, 서비스들은 사용자들의 인증 정보가 시장에 나오기 전에 해당 사용자에게 오래된 자신의 비밀번호를 긴 것으로 변경하도록 강제했다. 그것으로 서비스들은 자신을 보호해왔다.

예를 들어, 2012년에 발생했던 링크드인 비밀번호 절도에 대해 링크드인은 해킹당했다고 믿는 모든 계정들의 비밀번호를 의무적으로 초기화하는 등의 즉각적인 대응을 했다. 이런 대응은 충분했고 유출 피해를 막았다.

그러나 사실 우리는 이제 공격의 두번째 단계를 목도하고 있다. 이에 대해 동조하거나 하지않거나 관계없이 제대로 파악할 수 없다. 

깃허브(GitHub)에 올라온 유출된 비밀번호를 보면, 지금까지 유출된 오래된 비밀번호의 부분집합들이 수천 개의 기업과 수백만의 개발자를 위한 아주 실체적이고, 그리 오래되지 않은, 그리고 매우 중요한 서비스에서 광범위하게 사용하고 있음을 알 수 있다.

6월 15일 깃허브 보안팀이 깃허브 닷컴 계정의 다수에 미승인 접속을 시도하려는 움직임이 포착해 이에 대한 경고를 표하는 보고서가 나왔다.

"공격자들은 과거 해킹된 바 있는 다른 온라인 서비스에서 나온 이메일 주소와 비밀번호 목록으로 깃허브 계정 접속을 시도하고 있다"고 말했다.

한 서비스에서 오래된 비밀번호는 다른 서비스를 공격하는데 사용된다. 만약 사용자가 다수의 온라인 서비스에 접속하기 위해 자신의 기본 비밀번호를 토대로 일부 치환해서 사용하는 경향을 갖고 있다면 꽤나 무서운 일이 된다.

침해사고나 공격을 발견한 기업 모두는 자사의 상황이 잘못되고 있음을 알려야 한다. 기업들은 사용자에게 현재 상황을 알리고 그들에게 비밀번호 초기화를 경고하거나 강제한다. 이후 그들은 자사의 서비스들을 모니터링 한다.

지금 현재로서는 서비스를 함에 있어 이런 행동 강령이 최선의 방법이다.

그러나 그들의 서비스 사용자를 배려하는 모습은 조금도 보이지 않는다. 특히 필자를 포함해 다수 서비스를 사용하는 복합 사용자 가운데, 많은 서비스에서 같은 비밀번호를 사용하고 있는 이들은 자구책을 마련해야 한다. 

그렇다면, 사용자가 할 수 있는 일은 무엇일까. 사용자들은 32세의 하버드 졸업생이자 페이스북이라는 사이트를 갖고 있는 마크 주커버그가 피해자로 전락한 것에서 교훈을 얻을 수 있다. 이 해커가 매우 다양한 공격을 통해 주커버그의 트위터와 인스타그램 계정에 침입했을 때, 2012년 침해사고에서 도난당한 비밀번호 정보를 사용했을 것이라 추정할 수 있다.

엄밀히 말하면, 이는 주커버그의 오래되고 사용하지 않는 계정으로 보인다. 그래서 전적으로 주커버그의 보안 부족이라고 비난할 수 없다. 그러나 이는 사용자에게 큰 교훈을 남겼다. 한 서비스에서 보안팀이 회원들에게 제공하는 보안 기능을 적극적으로 활용하는 것이 중요하다는 사실이다.

그 가운데 가장 중요한 보안 기능은 바로 사용자들의 이중 인증(Two factor authentication, 2FA)이다. 많은 서비스가 제공하는 이 이중 인증은 간단하고도 매우 중요한 검증 단계다. 비록 모든 서비스가 다 제공하는 건 아니지만 상당수의 서비스가 이중 인증 그 이상을 언급한다.

이중 인증은 한 사용자에게 두번째 커뮤니케이션 채널을 요구하는데, 보통 휴대전화일 경우가 많다. 아주 간단한 형식으로 된 이중 인증 서비스는 사용자가 새로운 위치에서 서비스에 로그인할 때마다 컨택할 수 있다. 이중 인증은 로그인 페이지에서 비밀번호를 기입한 후, 휴대기기에서 SMS로 받은 4자리 또는 6자리의 디지털 코드를 기입해야 한다.

이중 인증의 부가적인 효과는 단지 보안 단계가 추가된 것뿐만 아니라 누군가 로그인을 시도하고 있을 때 검증된 사용자에게 즉각적인 경고 시스템으로써 역할을 한다는 점이다.

모든 것이 다 그렇듯이 이중 인증이라고 온라인 서비스 안전을 위한, 침해 사고나 해킹으로부터 사용자들을 보호하는 만병통치약이 될 순 없다. 그러나 기본적으로 간단한 비밀번호 변경보다는 안전하며 사용하기도 그리 어렵지 않다.

필자는 사용자들에게 자신의 모든 온라인 서비스와 로그인에 이중인증을 하도록 권고한다. 이중 인증이 제공된다면 무조건 그것을 사용하라.

만약 제공되지 않는다면 이 서비스에 왜 이중 인증을 하지 않느냐고 요청하라. 그렇다면 아마도 이 서비스의 보안팀은 사용자들을 보호하기 위해 이중 인증 도입을 심각하게 고려할지도 모른다. editor@itworld.co.kr


2016.06.20

글로벌 칼럼 | 해커에게 오래된 비밀번호의 가치란

Robert McCarthy | Computerworld
해커들은 사용자가 매일 사용하는 새로운 서비스를 공격하는데, 수년 전 도난당한 오래된 비밀번호를 사용하기 시작했다. 다른 서비스를 해킹하기 위해 오래 전에 다른 서비스에서 훔친 비밀번호의 사용하는 것은 최근 떠오르는 추세 가운데 하나다.

최근 트위터, 링크드인, 마이스페이스 등에서 비밀번호를 훔친 이들은 16년 된 마이스페이스(MySpace) 계정에 게재된 것으로 공격을 시도한 것으로 알려져 화제가 됐다.

첫번째 당황스러운 것은 비밀번호를 유출한 채로 수년이 지나는 것은 그리 큰일도 아니라는 점이다.

5년 또는 10년 전, 서비스들은 사용자들의 인증 정보가 시장에 나오기 전에 해당 사용자에게 오래된 자신의 비밀번호를 긴 것으로 변경하도록 강제했다. 그것으로 서비스들은 자신을 보호해왔다.

예를 들어, 2012년에 발생했던 링크드인 비밀번호 절도에 대해 링크드인은 해킹당했다고 믿는 모든 계정들의 비밀번호를 의무적으로 초기화하는 등의 즉각적인 대응을 했다. 이런 대응은 충분했고 유출 피해를 막았다.

그러나 사실 우리는 이제 공격의 두번째 단계를 목도하고 있다. 이에 대해 동조하거나 하지않거나 관계없이 제대로 파악할 수 없다. 

깃허브(GitHub)에 올라온 유출된 비밀번호를 보면, 지금까지 유출된 오래된 비밀번호의 부분집합들이 수천 개의 기업과 수백만의 개발자를 위한 아주 실체적이고, 그리 오래되지 않은, 그리고 매우 중요한 서비스에서 광범위하게 사용하고 있음을 알 수 있다.

6월 15일 깃허브 보안팀이 깃허브 닷컴 계정의 다수에 미승인 접속을 시도하려는 움직임이 포착해 이에 대한 경고를 표하는 보고서가 나왔다.

"공격자들은 과거 해킹된 바 있는 다른 온라인 서비스에서 나온 이메일 주소와 비밀번호 목록으로 깃허브 계정 접속을 시도하고 있다"고 말했다.

한 서비스에서 오래된 비밀번호는 다른 서비스를 공격하는데 사용된다. 만약 사용자가 다수의 온라인 서비스에 접속하기 위해 자신의 기본 비밀번호를 토대로 일부 치환해서 사용하는 경향을 갖고 있다면 꽤나 무서운 일이 된다.

침해사고나 공격을 발견한 기업 모두는 자사의 상황이 잘못되고 있음을 알려야 한다. 기업들은 사용자에게 현재 상황을 알리고 그들에게 비밀번호 초기화를 경고하거나 강제한다. 이후 그들은 자사의 서비스들을 모니터링 한다.

지금 현재로서는 서비스를 함에 있어 이런 행동 강령이 최선의 방법이다.

그러나 그들의 서비스 사용자를 배려하는 모습은 조금도 보이지 않는다. 특히 필자를 포함해 다수 서비스를 사용하는 복합 사용자 가운데, 많은 서비스에서 같은 비밀번호를 사용하고 있는 이들은 자구책을 마련해야 한다. 

그렇다면, 사용자가 할 수 있는 일은 무엇일까. 사용자들은 32세의 하버드 졸업생이자 페이스북이라는 사이트를 갖고 있는 마크 주커버그가 피해자로 전락한 것에서 교훈을 얻을 수 있다. 이 해커가 매우 다양한 공격을 통해 주커버그의 트위터와 인스타그램 계정에 침입했을 때, 2012년 침해사고에서 도난당한 비밀번호 정보를 사용했을 것이라 추정할 수 있다.

엄밀히 말하면, 이는 주커버그의 오래되고 사용하지 않는 계정으로 보인다. 그래서 전적으로 주커버그의 보안 부족이라고 비난할 수 없다. 그러나 이는 사용자에게 큰 교훈을 남겼다. 한 서비스에서 보안팀이 회원들에게 제공하는 보안 기능을 적극적으로 활용하는 것이 중요하다는 사실이다.

그 가운데 가장 중요한 보안 기능은 바로 사용자들의 이중 인증(Two factor authentication, 2FA)이다. 많은 서비스가 제공하는 이 이중 인증은 간단하고도 매우 중요한 검증 단계다. 비록 모든 서비스가 다 제공하는 건 아니지만 상당수의 서비스가 이중 인증 그 이상을 언급한다.

이중 인증은 한 사용자에게 두번째 커뮤니케이션 채널을 요구하는데, 보통 휴대전화일 경우가 많다. 아주 간단한 형식으로 된 이중 인증 서비스는 사용자가 새로운 위치에서 서비스에 로그인할 때마다 컨택할 수 있다. 이중 인증은 로그인 페이지에서 비밀번호를 기입한 후, 휴대기기에서 SMS로 받은 4자리 또는 6자리의 디지털 코드를 기입해야 한다.

이중 인증의 부가적인 효과는 단지 보안 단계가 추가된 것뿐만 아니라 누군가 로그인을 시도하고 있을 때 검증된 사용자에게 즉각적인 경고 시스템으로써 역할을 한다는 점이다.

모든 것이 다 그렇듯이 이중 인증이라고 온라인 서비스 안전을 위한, 침해 사고나 해킹으로부터 사용자들을 보호하는 만병통치약이 될 순 없다. 그러나 기본적으로 간단한 비밀번호 변경보다는 안전하며 사용하기도 그리 어렵지 않다.

필자는 사용자들에게 자신의 모든 온라인 서비스와 로그인에 이중인증을 하도록 권고한다. 이중 인증이 제공된다면 무조건 그것을 사용하라.

만약 제공되지 않는다면 이 서비스에 왜 이중 인증을 하지 않느냐고 요청하라. 그렇다면 아마도 이 서비스의 보안팀은 사용자들을 보호하기 위해 이중 인증 도입을 심각하게 고려할지도 모른다. editor@itworld.co.kr


X