보안

"휴면 계정, 공격 시작 지점으로 악용 쉬워" 옥타, 신원 트렌드 보고서

Michael Hill  | CSO 2023.05.26
비활성 계정과 관리되지 않은 계정은 개인과 기업에 심각한 보안 위협을 가져온다. 사이버 범죄 세력은 사용자가 잊어버렸거나 관리하지 않은 계정에서 정보를 훔치고 다른 활성 계정을 악용하는 것에 능숙하다. 옥타(Okta)는 고객 신원 트렌드 보고서(Customer Identity Trends Report)에서 14개국의 2만 명 이상 사용자를 대상으로 디지털 보안, 신원에 대한 온라인 경험과 자세를 조사한 결과를 공개했다.

특히 비밀번호를 재사용하거나 보안을 정기적으로 검토하지 않는다면, 완전히 잊어버리고 있었던 예전 계정에서도 심각한 계정 탈취 위험이 발생할 수 있다. 계정을 탈취하는 공격자는 방대한 사용자 자격 증명과 개인 데이터를 확보한 후 대규모로 악용해 중요한 기업 계정과 네트워크 계정을 공격하기 때문이다.

옥타는 구글이 계정 휴면 기간을 2년으로 수정한 후 발간됐다. 구글은 최소 2년 동안 로그인하지 않은 계정과 콘텐츠를 삭제할 수 있으며, 여기에는 구글 워크스페이스와 구글 사진 내 콘텐츠가 포함된다. 새 정책은 2023년 12월부터 시행될 예정이다.
 

비활성 계정이 위험한 원인

옥타는 계정 확산 개념을 이유로 들었다. 오래된 계정은 삭제되지 않은 채로 잊혀지기도 하고 가끔 사용되기도 한다. 새로운 계정이 생기면 사용자의 계정 현황에 변동이 일어나지만 새 계정이 활성 계정 모음에 추가되지도 않고 다른 계정을 사용하지 않게 되는 무질서한 개념이다. 보고서에 따르면 계정 확산은 젊은 사용자 사이에서 일반적으로 나타나지만 거의 대부분의 연령대에서 꾸준히 관찰된다. 지난 3개월 동안 18~29세의 신규 등록 온라인 계정 수는 40개 이상이었고, 30~39세와 40~49세의 경우 35개와 34개로 그보다 약간 적었다. 60세 이상은 최근 3개월 동안 약 20개의 신규 계정을 만들었다.

계정 이탈의 핵심은 많은 계정에서 디지털 공간을 안전하게 관리하고 유지하는 능력이다. 보고서에 따르면 응답자의 71%는 온라인 활동이 데이터 발자국을 남긴다는 점을 알고 있다. 그러나 완화 조치를 취하는 사용자는 44%에 불과했다. 전체 응답자의 63%가 1개월에 1회 이상 ID나 비밀번호를 잊어버려 로그인할 수 없는 계정이 생긴다고 답한 것으로 보아 비밀번호 관리는 특히 문제 대상이다. 보통은 비밀번호를 재설정할 수 있지만 그 과정이 어렵고 까다롭거나 비밀번호를 재설정할 가치가 없다고 생각되면 사용자는 계정을 포기해버린다. 방치한 계정 없이 모든 계정에 액세스할 수 있다고 답한 사용자는 전체의 52%였다.
 

비활성 계정은 다중인증도 적용 안 해

구글은 오랫동안 접속하지 않은 비활성 계정은 일반 계정보다 손상 가능성이 더 높다고 밝혔다. 구글에 따르면 "잊어버렸거나 방치된 계정은 오래되거나 재사용된 비밀번호를 쓰기 때문에 손상 가능성이 높다. 이중인증이 설정되지 않고 보안 검토도 이루어지지 않는" 경우가 많다.

구글은 심지어 버려진 계정은 활성 계정보다 이중인정 설정 가능성이 1/10에 불과하다고 주장한다. 때문에 계정이 취약해지며, 공격을 받거나 탈취되면 신원 도용부터 원치 않는 악의적 콘텐츠 벡터 등 다양하게 악용될 위험이 있다.
 

탈취한 자격 증명의 우선순위를 정하는 사이버 공격자

버라이즌이 발표한 2022 데이터 유출 조사 보고서(Verizon 2022 Data Breach Investigations Report)는 웹 애플리케이션 공격과 관련한 위반 행위의 80% 이상의 원인이 자격 증명 도난이다. 최근 사이버 공격자는 심지어 탈취한 자격 증명의 우선순위를 지정해 공격을 강화하고 보안 조치를 우회하며, 멀웨어보다 인증 정보 도용으로 공격 수단을 바꾸는 의지를 보이고 있다. 이러한 추세에 따라 탈취한 인증 정보를 판매하는 접속 브로커 서비스 수요도 늘어났다. 즉 범죄 집단을 말한다. 크라우드스트라이크(CrowdStrike)는 2023년 전 세계 위협 보고서에서 2022년 접속 브로커 서비스 광고가 112% 이상 증가했고 2,500개 이상의 음지에서의 범죄 광고가 관찰됐다고 밝혔다.
editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.