[Security News] 연예인 스마트폰 해킹 사건. 크리덴셜 스터핑?

※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.

크리덴셜 스터핑이란 기존에 노출된 아이디와 패스워드 정보로 다른 사이트에 접속해 정보를 유출하는 방법을 말합니다. 일부 매체 보도에 따르면 삼성 클라우드 계정을 탈취한 후 ‘복제폰’을 만들어 사진 등 개인정보를 유출한 것이 아닌지 추측하고 있습니다.

배우 주진모의 스마트폰 해킹사건이 이슈인 가운데, 주진모뿐만 아니라 다수의 연예인들도 스마트폰의 개인자료가 유출된 것으로 알려졌습니다. 특히, 이번 사건에는 부자연스런 한국어를 구사하는 해커들이 개입했으며, 특히 크리덴셜 스터핑 기법을 사용해 삼성 클라우드에서 자료를 복제하는 방식으로 개인자료를 빼낸 것으로 추정됩니다.

연예전문매체 디스패치에 따르면 7일 발생한 배우 주진모의 해킹사건은 스스로 ‘블랙해커’라고 부르는 해커가 스마트폰에 저장된 개인적인 자료를 탈취한 후 ‘금전’을 요구하며 시작됐습니다. 특히, 이번 사건은 알려진 대로 주진모뿐만 아니라 다른 연예인들과 감독 등 잘 알려진 사람들을 대상으로 이뤄졌고, 일부는 해커의 요구대로 돈을 준 것으로 추측됩니다. 주진모는 그들의 요구대로 돈을 주지 않았기 때문에 해커가 연예기자들에게 해당 자료를 전송하면서 알려진 것뿐이라는 얘기입니다. 특히, 디스패치는 이번 사건의 범행수법으로 기존에 유출된 아이디와 패스워드를 이용해 ‘삼성 클라우드’에 접속한 뒤 저장된 자료를 다른 폰에 다운받는 수법을 지목했습니다. 이른바 ‘크리덴셜 스터핑(Credential Stuffing)’입니다.

크리덴셜 스터핑은 기존에 다른 곳에서 유출된 아이디(ID)와 패스워드(Password)를 여러 웹사이트나 앱에 대입해 로그인이 될 경우 개인정보나 자료를 유출하는 방법입니다. 복잡한 것을 싫어하는 많은 사람들이 모든 웹사이트나 앱에서 같은 아이디와 패스워드를 사용하는 것을 노린 방법으로, 최근 본지가 보도한 대로 홈플러스나 스타벅스 등에서 크리덴셜 스터핑을 이용한 공격으로 실제 피해를 입은 사건이 늘고 있습니다. 글로벌 보안기업 아카마이에 따르면 2017년 11월부터 2019년 4월까지 총 18개월 동안 금융 업계를 대상으로 일어난 크리덴셜 스터핑 공격이 35억 건에 달해 고객 개인정보와 금융정보가 위협에 노출됐습니다.

크리덴셜 스터핑에 당하지 않으려면 우선 사용하는 웹사이트나 앱마다 서로 다른 아이디와 패스워드를 적용해야 하며, 아울러 외부로 아이디와 패스워드가 유출됐을 경우 모든 비밀번호를 바꿔야 합니다. 또한, 웹사이트와 앱이 2차 인증을 지원할 경우 귀찮더라도 이를 적극 활용하는 것이 좋으며, 해당 기업 역시 2차 인증을 적용하는 것이 필요합니다. 디스패치는 2차 인증을 지원하는 애플 아이폰과 달리 삼성 갤럭시의 클라우드는 2차 인증을 지원하지 않았기 때문에 쉽게 복제폰을 만들 수 있었다고 지적했습니다.

한편, 관련 전문가는 “아직 피해자가 어떤 경로로 피해를 입었는지 확실하지 않은 만큼 크리덴셜 스터핑으로 확정하는 것은 위험하다”면서, “또한 크리덴셜 스터핑이라 해도 사전에 어떤 방식으로 아이디와 패스워드를 얻었는지도 조사해봐야 한다”며 신중한 대응이 필요하다고 강조했습니다.

“피싱 등 공격을 받아 악성앱을 깔았을 경우에도 스마트폰의 개인자료가 유출될 수 있습니다. 또한 아이디와 패스워드가 유출됐다고 하면, PC가 해킹돼 유출됐는지, 과거에 유출됐는지 파악하는 것도 중요합니다. 무엇보다 이번 사건이 배우와 감독 등 연예인을 대상으로 발생한 것도 자세하게 조사를 해봐야 합니다.”

출처: 보안뉴스