최악의 비밀번호 유출, 100억 개의 비밀번호 노출되다

7월 4일, 오바마케어라는 이름을 사용하는 사용자들이 약 100억 개의 고유한 비밀번호를 포함한 역대 최대 규모의 비밀번호 모음을 유출했습니다.

사이버 뉴스의 연구원들은 인기 있는 해킹 포럼에서 락유2024.txt라는 제목의 유출을 발견했습니다. 데이터 세트에는 2021년과 2024년의 비교적 최근의 해킹 사건을 포함하여 지난 20년 동안 수많은 해킹에서 수집한 9,948,575,739개의 고유한 일반 텍스트 비밀번호가 포함되어 있습니다.

이 데이터 세트에는 비밀번호 외에도 관련 이메일 주소, 사용자 이름 및 기타 개인 정보도 포함됩니다.

연구진에 따르면 “위협적인 공격자들은 LockU2024 비밀번호 컴파일을 악용해 무차별 비밀번호 대체 공격을 수행하고 데이터 세트에 포함된 비밀번호를 사용하여 개인이 사용하는 다양한 온라인 계정에 무단으로 액세스할 수 있습니다.”

락유2024 유출은 사이버 범죄에 대한 지속적인 싸움에서 중요한 사건입니다. 이 유출은 비밀번호 기반 보안 시스템의 지속적인 취약성을 강조하면서 많은 수의 인증 정보를 노출했습니다.

이 유출로 비밀번호화된 비밀번호나 해시 비밀번호가 아닌 일반 텍스트 비밀번호가 드러났기 때문에 숙련되지 않은 해커도 이러한 비밀번호에 쉽게 접근하고 악용하여 크리덴셜 스터핑 또는 비밀번호 스터핑을 포함한 다양한 유형의 사이버 공격에 사용할 수 있습니다. 크리덴셜 스터핑은 무차별 대입 공격의 하위 집합입니다.

락유2024 및 크리덴셜 스터핑

연구원들은 “본질적으로 락유2024 유출은 전 세계 개인들이 사용하는 실제 비밀번호의 집합체”라고 말합니다. “위협적인 공격자들이 많은 비밀번호를 가지고 있다는 사실은 자격 증명 공격의 위험을 많이 증가시킵니다.”

보안 컨설팅 회사 NCC 그룹 내 전략적 위협 인텔리전스의 글로벌 책임자인 매트 헐(Matt Hull)은 테크허브에 다음과 같이 말했습니다:

“이러한 유형의 해킹은 비교적 자주 발생하기 때문에 놀라운 일이 아닙니다.”

“수집된 자료가 사기 등 범죄행위에 활용될 가능성이 있습니다.”

디지털 자산을 보호하려는 개인과 조직은 특히 자격 증명 자료와 관련하여 이러한 데이터 침해의 의미를 이해하는 것이 중요합니다.

크리덴셜 스터핑(credential stuffing)은 해커가 데이터 유출로 인해 도난당한 사용자 인증 정보를 다른 시스템에서 사용하려고 하는 사이버 공격의 한 유형입니다. 따라서 이러한 유출은 여러 사이트와 서비스에서 비밀번호를 재사용하는 사용자에게 심각한 위험을 초래할 수 있습니다.

헐은 만약 사람들이 여러 온라인 계정이나 웹사이트에서 동일한 비밀번호를 재사용한다면, 그중 하나가 유출되면 다른 모든 계정이 취약해질 수 있다고 말합니다.

“악성 공격자는 이와 같은 데이터 세트를 사용하여 비밀번호 채우기 공격을 수행하여 대상 환경에 액세스합니다.”라고 그는 말합니다.

“데이터 세트의 사용자 자격 증명이 기업 계정에 해당하는 경우 회사의 IT 자산에 불법적으로 액세스하는 데 사용될 수 있습니다.”

헐은 인증 정보가 노출되었는지 확인하기 위해 유출 알림 서비스(Have I Been Pawned?)를 확인하라고 조언합니다.

예를 들어 NCC 그룹 내 디지털 포렌식 및 사고 대응 글로벌 책임자인 알레한드로 리바스 바스케스는 구글 크롬과 같은 애플의 기기와 브라우저는 비밀번호가 유출되었는지 여부를 알려주는 유사한 기능을 가지고 있다고 말합니다.

“만약 여러분의 자격 증명이 노출된다면, 여러분은 비밀번호를 바꿀 필요가 있습니다. 여러분은 또한 모든 온라인 계정에 대해 다른 비밀번호를 사용할 필요가 있습니다. 여러분은 비밀번호 관리자로부터 도움을 받을 수 있습니다”라고 헐은 말합니다.

“그리고 가능하다면 온라인 계정에 대한 보안을 더욱 강화하기 위해 다단계 인증을 구현해야 합니다.”

락유2021 유출 사건을 파헤치다

락유2024 유출 사건의 결과를 완전히 이해하기 위해 이번 유출 사건이 이전의 주요 사건인 락유2021 비밀번호 모음 유출 사건과 다른 점이 무엇인지 알아보겠습니다.

락유2021은 약 84억 개의 비밀번호를 노출한 대규모 보안 유출이었습니다. 락유2021은 수년 동안 발생한 다양한 유출을 광범위한 검색 가능한 단일 데이터베이스로 모은 것입니다. 그 결과 해커가 사람들이 재사용한 비밀번호를 찾고 사용하는 것이 훨씬 더 쉬워졌습니다.

락유2021도 규모가 컸지만, 락유2024는 유출된 자격 증명의 양이 훨씬 더 많고 자격 증명에 더 즉각적인 영향을 미쳤습니다. 락유2021은 오래된 유출에서 가져온 것이고, 락유2024에는 최신 데이터가 포함되어 있어 더욱 긴급한 위협입니다.

락유2021 누출의 경고와 경고에도 불구하고 사람들은 비밀번호 습관을 개선하지 않고 있습니다. 비밀번호 재사용은 여전히 큰 문제로 남아 있으며 Lockyou 2024 누출의 영향을 악화시킵니다.

락유2024 유출 사건의 의의

2024년 락유호 유출 사고는 중요한 의미가 있습니다. 우선 공격 표면이 크게 늘었습니다.

인증 정보가 너무 많이 노출되면서 비밀번호 채우기 공격의 잠재적 대상이 급격히 증가했습니다. 유출된 계정 하나하나가 해커들이 악의적인 활동을 할 수 있는 액세스 포인트 역할을 할 수 있습니다.

기업에도 상당한 경제적 영향을 끼칩니다. 기업은 부정거래로 인한 당장의 금전적 손실뿐만 아니라 평판 훼손과 고객 신뢰 회복과 관련된 장기적 비용을 부담해야 하기 때문입니다.

개인 정보가 개인에게 유출되면 개인 정보 도난, 금융 사기 및 민감한 데이터에 대한 액세스로 이어질 수 있기 때문에 이러한 정보 침해는 중요합니다.

이러한 공격을 받은 기업은 일반적으로 다운타임 및 생산성 손실과 같은 운영 중단을 겪습니다. 또한 직원들이 원래의 업무에서 벗어나 사고 대응 및 복구 작업을 처리해야 할 가능성이 높습니다.

마지막으로, 사용자 데이터를 보호하지 않는 기업은 법적, 규제적 결과에 직면하게 됩니다. 특히, 유럽의 일반 정보 보호 규제처럼 엄격한 데이터 보호법의 적용을 받는 분야는 벌금, 벌금 및 규제 기관의 감시 강화에 직면할 수 있습니다.

완화 전략

비밀번호를 재사용하지 않는 것 외에도 조직에서 데이터를 보호할 수 있는 다른 방법이 있습니다:

MFA(Multi-factor Authentication) 도입: MFA는 보안을 더욱 강화하여 공격자가 로그인 정보를 알아내더라도 침입하기가 훨씬 어려워집니다. MFA에는 SMS 인증, 인증 앱 또는 하드웨어 토큰이 포함될 수 있습니다.

직원들에게 비밀번호 보안에 대해 교육: 각 계정에 대해 강하고 독특한 비밀번호를 만드는 것이 왜 중요한지 직원들에게 교육하는 것이 중요합니다. 비밀번호 관리자들은 사람들이 어디에서나 같은 비밀번호를 재사용하는 것에 대해 걱정하지 않도록 복잡한 비밀번호를 생성하고 저장함으로써 이것을 더 쉽게 할 수 있습니다.

모니터링 및 탐지: 고급 모니터링 도구를 사용하여 비정상적인 로그인 활동을 발견하면 비밀번호 채우기 공격이 발생할 때 이를 탐지하고 차단하는 데 도움이 될 수 있습니다. 예를 들어 여러 위치에서 여러 번의 로그인 시도가 실패할 경우 즉시 보안 조처를 해야 합니다.

정기적인 보안 감사: 정기적인 보안 감사 및 취약성 평가를 수행하는 것은 조직의 보안 프레임워크에서 잠재적인 취약성을 식별하고 해결하는 데 매우 중요합니다. 이러한 사전 예방적 접근 방식은 해킹을 방지하고 공격의 영향을 줄이는 데 도움이 됩니다.

캡차(CAPTCHA)를 사용: 로그인 프로세스에 캡차를 추가하면 자동화된 시도를 차단하기 위한 사람의 검증이 필요합니다. 완벽하지는 않지만, 캡차는 자동화된 비밀번호 입력 도구의 효율성을 크게 떨어뜨릴 수 있습니다.

제로 트러스트 아키텍처 도입: 모든 사람이 네트워크 리소스에 대한 액세스를 인증해야 하는 제로 트러스트 보안 모델로 전환하면 무단 침입 위험을 크게 줄일 수 있습니다. 이러한 접근 방식은 모든 액세스 시도가 검증되기 전까지는 위협이 될 수 있다고 가정합니다.

IP 블랙리스트 및 속도 제한: 기업은 IP 블랙리스트 및 속도 제한을 사용하여 자동화된 비밀번호 채우기 공격을 차단할 수 있습니다. 기업은 의심스러운 행동을 보이거나 지정된 로그인 시도 횟수를 초과하는 IP 주소를 식별하고 차단함으로써 성공적인 공격 가능성을 줄일 수 있습니다.

행동 생체 인식: 행동 생체 인식을 구현하면 입력 속도, 마우스 움직임 등 사용자의 행동 패턴을 분석해 보안을 강화할 수 있습니다. 정상적인 행동에 변화가 있으면 시스템이 추가 인증 단계를 작동시켜 해커가 올바른 자격 증명을 두고 있어도 공격에 성공하기 어렵습니다.

비밀번호 없는 인증 사용: 생체 인식(지문 또는 안면 인식) 및 하드웨어 보안 키와 같은 비밀번호 없는 인증 방법을 채택하면 비밀번호 재사용 및 비밀번호 채우기 공격과 관련된 위험을 제거할 수 있습니다.

결론

락유2024 유출은 비밀번호 기반 인증 시스템이 얼마나 취약할 수 있는지를 보여주는 명확한 사례이며, 항상 사용자 안전을 최우선으로 한다는 원칙을 고수해야 합니다.

100억 개의 비밀번호를 한 곳에 두면 공격자가 쉽게 시도할 수 있고, 디지털 위생이 나쁘면 매트 아래에 열쇠를 넣는 것처럼 누구나 들어올 수 있습니다.