Instagram, Spotify, 비밀번호 저장소가 한 주 만에 연이어 공격받다

Instagram, Spotify, 비밀번호 저장소가 한 주 만에 연이어 공격받다

최근 한 주 동안 사이버 공격이 인터넷에서 가장 널리 사용되는 세 곳을 강타했습니다. 인스타그램 계정이 탈취되었고, 스포티파이 사용자들은 크리덴셜 스터핑 공격을 받았으며, 비밀번호 저장소는 저장된 자격 증명을 대량으로 탈취하려는 공격자들의 표적이 되었습니다. 이런 플랫폼을 하나라도 사용한다면, 그리고 대부분의 사람들이 그렇듯, 지금이 자신을 어떻게 보호하고 있는지 점검해야 할 때입니다. 여기서 얻을 교훈은 단순히 “VPN을 사용하라”가 아닙니다. VPN, 비밀번호 관리자, 강력한 인증을 결합한 계층적 보안만이 이 세 가지 공격 유형 모두에 대응할 수 있는 유일한 접근법이라는 점입니다.

어떤 플랫폼이 공격받았고 어떤 데이터가 노출되었는가

이번에 발생한 일련의 사건들은 각기 다른 방식으로 플랫폼에 영향을 미쳤습니다. 인스타그램 계정 탈취는 계정 복구의 취약점을 악용해 공격자가 합법적인 사용자를 자신의 프로필에서 잠궈버리도록 했습니다. 스포티파이에서는 크리덴셜 스터핑으로 보이는 공격이 발생했는데, 이는 공격자가 이전에 유출된 사용자 이름과 비밀번호 조합을 가져와 새로운 대상을 상대로 대규모로 시도하며, 많은 사람들이 여러 서비스에 동일한 자격 증명을 재사용한다는 사실에 베팅하는 방식입니다. 한편 비밀번호 저장소 서비스는 직접적인 표적이 되어, 나중에 오프라인에서 해독할 수 있는 암호화된 저장소 파일을 탈취하려는 시도가 있었습니다.

이번 한 주가 특이했던 점은 특정 공격이 특히 새로웠기 때문이 아닙니다. 세 가지 공격 표면이 거의 동시에 공격을 받았고, 기업 대상이나 고가치 개인이 아니라 엄청난 수의 일반 사용자 집단이 영향을 받았다는 점입니다.

인스타그램 취약점이 복구 도구의 결함을 통해 공격자가 어떻게 계정을 탈취할 수 있는지 자세히 살펴보려면, 이 상세 분석을 참고하세요: Instagram Meta AI 계정 취약점으로 공격자가 비밀번호를 재설정할 수 있다.

비밀번호 저장소가 고가치 표적이 되는 이유

비밀번호 관리자는 역설적이게도 자격 증명이 무분별하게 늘어나는 문제에 대한 올바른 해결책인 동시에 공격자에게 매력적인 표적이 됩니다. 누군가 비밀번호 저장소를 뚫으면 비밀번호 하나만 얻는 것이 아닙니다. 그 사람이 저장한 모든 비밀번호와 함께 보안 메모, 신용카드 번호, 2단계 인증 복구 코드까지 잠재적으로 모두 손에 넣을 수 있습니다.

암호화된 저장소 파일을 탈취한 공격자가 반드시 즉시 그것을 해독할 필요는 없습니다. 특히 저장소가 취약하거나 재사용된 마스터 비밀번호로 보호되어 있었다면, 파일을 저장한 뒤 시간을 두고 오프라인 무차별 대입 공격을 시도할 수 있습니다. 마스터 비밀번호의 강력함과 유일성이 사소한 디테일이 아닌 이유가 여기에 있습니다. 탈취된 저장소가 실제로 사용 가능한 것이 되느냐 마느냐를 결정하는 가장 중요한 단 하나의 변수입니다.

저장소가 강력하고 무작위로 생성된 마스터 비밀번호와 계정 자체에 대한 다중 인증으로 보호되어 있으면 위험 수준이 크게 달라집니다. 서비스 제공자조차도 데이터를 읽을 수 없는 제로 지식 아키텍처를 사용하는 저장소 제공업체는 또 하나의 의미 있는 보호 계층을 추가합니다.

VPN이 효과적인 지점과 부족한 지점

VPN은 실질적으로 유용한 도구입니다. 신뢰할 수 없는 네트워크에서 트래픽을 암호화하고, IP 주소를 가리며, 인터넷 제공업체가 브라우징 활동을 기록하는 것을 막아줍니다. 공용 Wi-Fi에 정기적으로 연결하는 사람들에게는 트래픽 가로채기 위험을 상당히 줄여줍니다.

하지만 VPN은 크리덴셜 스터핑을 막지 못합니다. 공격자가 이전 유출로부터 당신의 사용자 이름과 비밀번호를 이미 가지고 있고 그것을 스포티파이에 시도한다면, 아무리 VPN을 사용해도 그 로그인 시도를 차단할 수 없습니다. VPN은 제공업체 서버에서 유출된 비밀번호 저장소도 보호할 수 없습니다. 또한 플랫폼 자체의 복구 프로세스 취약점을 악용한 계정 탈취도 막을 수 없습니다.

계층적 보안이란 VPN을 더 넓은 보안 태세의 한 부분으로 사용하는 것이지, 전체 태세로 삼는 것이 아님을 의미합니다. 나머지 부분에는 모든 계정에 고유한 비밀번호 사용, 이를 현실적으로 가능하게 해주는 신뢰할 수 있는 비밀번호 관리자, 그리고 가능한 모든 곳에서 다중 인증을 활성화하는 것이 포함됩니다.

구체적인 조치: VPN, 강력한 인증, 비밀번호 위생 결합하기

이번 한 주 같은 사태 이후 실질적이고 탄력적인 보안 설정은 다음과 같습니다:

재사용한 비밀번호를 먼저 점검하세요. 대부분의 비밀번호 관리자는 여러 사이트에서 재사용된 비밀번호를 식별해주는 건강 진단 또는 감사 기능을 내장하고 있습니다. 거기서 시작하세요. 다른 곳과 비밀번호를 공유하는 모든 계정은 크리덴셜 스터핑의 잠재적 위험 요소로, 언제든 악용될 수 있습니다.

가장 민감한 계정에 즉시 MFA를 활성화하세요. 소셜 미디어, 이메일, 비밀번호 관리자 자체의 로그인, 그리고 모든 금융 계정에는 다중 인증이 활성화되어 있어야 합니다. SIM 스와핑 공격으로 가로챌 수 있는 SMS 코드보다 인증 앱이 더 안전합니다.

비밀번호 관리자의 보안 아키텍처를 확인하세요. 제로 지식 암호화를 사용하는지 알아보고, 저장소가 다른 곳에서 한 번도 사용한 적 없는 강력하고 유일한 마스터 비밀번호로 뒷받침되고 있는지 이해하세요.

신뢰할 수 없는 네트워크에서는 VPN을 사용하되, 거기서 멈추지 마세요. VPN은 특정한 허점을 메워줍니다. 위의 보호 조치들을 대체하지는 못합니다.

유출 알림 서비스를 확인하세요. 사용자의 이메일 주소나 자격 증명이 알려진 데이터 유출 덤프에 나타났는지 모니터링해주는 서비스는 특정 비밀번호를 변경해야 할 때 조기 경고를 제공할 수 있습니다.

지난 한 주의 사건들은 디지털 신원 보호에 하나의 도구만으로는 부족하다는 점을 일깨워주는 유용한 계기입니다. 공격자들은 동시에 여러 전선에서 활동하며, 우리의 방어도 그에 맞춰야 합니다. 이번 주에 한 시간을 내어 계정 보안 설정을 점검하세요. 가장 많이 사용하는 플랫폼부터 시작해 점차 넓혀가면 됩니다. 시간 투자는 계정 복구, 신원 도용 해결, 수년간 저장한 데이터에 대한 접근 권한 상실이 초래할 실제 비용에 비하면 적습니다.