지난 2020년 배우 주진모를 비롯한 유명 연예인들을 대상으로 한 스마트폰 해킹 사건은 크리덴셜스터핑(Credential Stuffing) 공격에 의해 발생한 사건이다. 성명불상의 해커가 불법으로 유명 연예인들의 개인정보를 입수해서 그들의 클라우드 계정에 접근해 개인정보를 유출한 사안이다. 아카마이 보고서에 따르면 2020년 한 해 동안 전 세계 금융업계를 대상으로 총 41억건의 보안 공격이 발생했으며, 그 가운데 83%인 34억건이 크리덴셜스터핑 공격이었다.
2022년 성명불상의 해커는 미국 자동차 대기업 GM의 구매자 개인정보를 불법으로 입수한 다음 이들 개인정보를 이용해 GM 웹사이트에 로그인해서 고객들이 쌓아 둔 혜택 포인트 일부를 탈취한 적도 있다.
그 외 유명 커피 프랜차이즈의 충전금이 탈취된 사건, 유명 대형마트의 회원 계정에 로그인해서 신용카드 혜택을 적립하고 이를 사용한 사건, 모바일 결제 서비스에서 이용자 몰래 결제가 일어난 사건, 국내 전자책 구독 플랫폼에서 발생한 개인정보 유출 사건 등 크리덴셜스터핑 공격에 의한 피해 사례는 쉽게 찾을 수 있다. 크리덴셜스터핑 공격은 최근 해커의 공격 방법 가운데 주를 이루고 있다.
이렇게 악명 높은 크리덴셜스터핑 공격이란 해커가 이용자의 실제 개인정보를 다크웹 등에서 획득하여 특정 사이트에 방문한 다음 그 개인정보를 이용해서 무작위로 대입해 가며 로그인 시도를 하는 공격이다. 과거 해커들이 무작위로 정보를 대입해 가면서 공격했다면 이제는 실제 개인정보를 획득해서 대입하는 공격 형태로 트렌드가 바뀐 것이다. 크리덴셜스터핑 공격은 성공 확률이 0.1~0.2%로 다른 해킹 공격에 비해 높다. 당연히 짧은 시간 안에 폭발적인 로그인 시도가 있고, 트래픽도 한순간에 급증하는 징후가 발견된다.
크리덴셜스터핑 공격이 증대하고 있는 원인은 그동안 유출된 개인정보가 누적돼 있기 때문이다. 예컨대 2019년 S2W랩 조사에 의하면 다크웹 4000만 페이지를 분석한 결과 국내 개인정보는 300만건 이상이 발견됐다고 한다. 한국인터넷진흥원에 따르면 2021년 다크웹 사이트에 1개월 동안 올라온 국내 개인정보는 1600여만건에 이르며, 정부기관의 조사 자료에 의하면 해외 웹사이트에서 유통되는 국내 개인정보의 개수는 2346만건이다. 이렇게 유출된 개인정보는 다크웹에서 불법적으로 유통되는데 해커는 이를 쉽게 획득해서 크리덴셜스터핑 공격 수단으로 활용하는 것이다.
대다수 이용자는 기억상의 피로감을 해소하기 위해 여러 사이트를 동일한 ID와 비밀번호로 설정해 두는 경향이 있는데 이러한 경향은 크리덴셜스터핑 공격을 조장한다. 하나의 사이트에서 획득한 ID와 비밀번호로 크리덴셜스터핑 공격을 하게 되면 다른 사이트에서도 잘 적용되는 경우가 많기 때문이다.
이 문제를 해결하기 위해 최근 개인정보보호위원회는 '털린 내 정보 찾기 서비스'를 시작했다. 이 서비스는 이용자가 평소 온리인 상에서 사용하는 계정정보를 입력하면 유출된 이력을 알려주는 서비스이다. 자신의 개인정보가 다크웹 등에서 불법 유통되는지를 간접적으로 확인할 수 있고, 2차 피해 방지 조치를 할 수 있다. 이와 함께 주기적인 비밀번호 변경과 2단계 인증 로그인 등을 실시하는 방법으로 크리덴셜스터핑 공격에서 비교적 자유로울 수 있을 것이다.
크리덴셜스터핑 공격은 추가적인 개인정보 유출로 이어질 수 있기 때문에 기업 입장에서는 그에 걸맞은 대비 방법을 강구해야 한다. 예컨대 로그인 시 발생하는 이상징후에 대한 정책 설정, 이상징후 발견을 위한 분석조치 등이 필요하다.
한편 크리덴셜스터핑 공격에 대비해 만들어진 조항이 아니지만 법령적으로 크리덴셜스터핑 공격에 대비한 조항으로는 개인정보의 기술적·관리적 보호조치 기준 제4조 제5항이 있다. 이에 따르면 개인정보를 처리하는 기업은 비인가 접근 탐지를 위한 IP주소 분석 의무 등을 준수해야 한다.
그러나 이러한 의무만으로 크리덴셜스터핑 공격에 대비한 개인정보보호 법체계가 갖추어졌다고는 보지 않는다. 개인적으로는 제4조 제5항의 내용을 크리덴셜스터핑 공격의 내용을 좀 더 반영해서 조문을 정비할 필요도 있고, 고시 해설서 등에서 크리덴셜스터핑 공격에 대비하는 기업의 조치 등에 대한 설명을 포함시킬 필요가 있다고 본다.
고시나 해설서는 과거 행위를 규제하는 도구이기도 하지만 장차 발생할 우려가 있는 위험에 대비하는 예고나 예방 역할도 하고 있기 때문에 개인정보 보호 차원에서 크리덴셜스터핑 공격에 대비한 고시나 해설서 등의 법체계 정비를 통해 크리덴셜스터핑 공격에 의한 개인정보 유출 피해를 줄여 나가는 노력이 필요하다.
* 법무법인 민후 김경환 변호사 작성, 전자신문(2022. 7. 5.) 기고.
