[보안이슈] 주진모, 최현석 해킹 원인은 갤럭시 문제 아닌 삼성 클라우드 계정 탈취! '크리덴셜 스터핑' 이란?

최근, 주진모 해킹과 최현석 해킹 피해 사건이 여론에서 뜨겁다. 해킹 피해가 누구에게 어떻게 어떤 방식으로 일어났는지, 이를 방지하기 위해선 어떻게 해야 하는지에 대해 간단히 알아본다.

 

또한, 이러한 연예인 해킹 사건을 기반으로 근래에 사회적 문제로 떠오른 '크리덴셜 스터핑'이란 무엇인지 살펴보자. 

 

 

 

 

주진모 해킹 사건 개요

2020년 1월 10일 주진모의 핸드폰이 해킹되었다는 기사가 뜨기 시작했다. 아직 실제 조사로 인해 밝혀진 사실은 없다고 알고 있는데 어찌 됐건 주진모와 대화를 나눈 상대 배우들 전부 이미지에 큰 타격을 입은 것은 사실이다. 어쨌든 위법을 저질렀다고 밝혀지든 아니든 주진모는 해킹 피해자이다.

 

주진모의 소속사는 해킹 공격자의 금품 요구와 협박에 대해 법적 대응을 하겠다고 밝힌 바 있다. 그리고 1월 16일 공격자들을 대상으로 형사고소장을 제출했다.

 

 

최현석 해킹 사건 개요

주진모 해킹 사건이 아직도 뜨거운 2020년 1월 17일, 셰프로 활동하고 있는 최현석 해킹 사건이 다시 또 도마에 올랐다.

 

팩트인지 아닌지는 모르겠지만 일단 현재 접할 수 있는 정보는 기사뿐이므로 기사 내용을 살펴보면, 최현석 해킹 사건은 주진모 해킹 사건과 매우 비슷하게 삼성 클라우드 계정 탈취로 해킹 수법과 협박 패턴이 매우 유사하다고 한다.

 

최현석 해킹 사건 (출처: 네이버 인기 검색어)

 

 

삼성전자의 입장문

주진모의 핸드폰 기종은 삼성전자의 갤럭시 모델이었는데 이에 대해 삼성전자는 갤럭시가 문제가 아니라 주진모의 비밀번호가 유출된 것이라고 따로 밝히기도 했다. 또한 다시 논란이 되고 있는 최현석 역시 핸드폰 기종이 삼성전자의 갤럭시 모델인데, 역시 이번 해킹 사건은 갤럭시의 보안성 결함과는 아무 상관이 없다.

 

삼성 갤럭시 핸드폰 (출처: Freepik)

 

 

그도 그럴 것이 삼성전자 입장에서는 마치 '주진모 해킹 -> 주진모 핸드폰 기종은 갤럭시 -> 갤럭시 해킹 -> 갤럭시 쓰지 말아야겠다'라고 느끼는 사람들도 분명히 있을 것이라고 생각했을 것이다.

 

해당 내용은 삼성 멤버스 페이지 공지사항에서 확인할 수 있으며 공식 URL은 아래 링크와 같다. 공지사항은 '삼성 클라우드 관련하여 알려드립니다.'라는 제목으로 1/13일에 게재되었으며 삼성 갤럭시 스마트폰이나 삼성 클라우드 서비스 자체가 해킹된 것이 아님을 강조하며 보안 강화 조치 방법을 명시했다.

 

---

'삼성 멤버스 - 삼성클라우드 관련하여 알려드립니다'

삼성클라우드 관련하여 알려드립니다.

 

 

어떻게? 클라우드 계정 탈취!

주진모 해킹 사건은 주진모의 갤럭시 핸드폰 자체가 해킹된 건 아니다. 

 

 

"그렇다면? 어떤 것이 해킹된 것일까?"

 

 

바로 클라우드의 아이디와 비밀번호이다. 클라우드 역시 클라우드 자체가 해킹된 것은 아니다. (클라우드 자체가 해킹되었다는 것은 정말 엄청난 일이며 어렵다) 공격 대상자의 개인정보만 어떤 경로든 알아내면 클라우드에 접근할 수 있고 해당 클라우드와 연동된 핸드폰 데이터에도 접근할 수 있다.

 

개인정보를 알아내는 방식은 핸드폰이나 클라우드 자체를 해킹하는 것 보다야 훨씬 쉽다. 그렇다면 주진모의 개인정보는 어떤 방식으로 공격자에게 들어간 것일까. 이에 관련한 정확한 정보는 얻을 수 없었지만 추측은 해볼 수 있다.

 

 

다양한 방식의 계정탈취 (출처: Vecteezy 무료 이미지)

 

 

매우 다양한 방식이 존재하지만 공격자가 의도적으로 뿌린 URL을 실수로 클릭해 해당 공격자 서버에서 악성 프로그램이 다운로드됐다거나 혹은 리패키징된 APK를 정상 앱으로 오해하고 설치하여 APK 내부의 악성 코드로 인해 악성 프로그램이 설치된 경우 등이다. 또는 개인이 행동한 행위하는 전혀 상관없이 PC방의 PC나 다른 PC를 잠깐 사용했을 때 해당 PC에 악성 프로그램이 백그라운드로 돌고 있었을 수도 있다. 아니면 이미 탈취된 계정 정보를 갖고 있는 다른 공격자로부터 구입했을 수도 있다.

 

그리고 애초에 클라우드 서비스를 이용해서 아래 그림처럼 다양한 기기들을 서로 연동시켜놓거나 분실을 대비해서 백업을 시켜놓는 경우가 많은 만큼 (심지어 전체 데이터 백업도 존재) 한 기기 분실이 결국 스마트폰의 개인 데이터들 유출로 이어질 수 있는 것이다.

 

클라우드 서비스 연동 (패드, 노트북, PC, 핸드폰)

 

크리덴셜 스터핑(Credential Stuffing) 이란

아직 정확히 객관적인 사실은 알 수 없지만, 지금까지 나온 기사 내용들만을 보고는 해당 해킹 사건을 크리덴셜 스터핑과 관련이 있다고 보는 견해가 많은 것 같다. '크리덴셜 스터핑 (Credential Stuffing)' 이란, 획득한 사용자의 개인정보를 다른 계정에도 마구 대입하는 방식을 말한다.

 

사실 용어를 크리덴셜 스터핑이라고 정의를 해놓은 것뿐이지 간단히, 아래 그림과 같이, 특정 사용자의 페이스북 계정과 비밀번호를 획득한 공격자가 이 계정과 비밀번호가 다른 서비스에서도 유효한지 인스타그램에도 넣어보고 네이버 메일에도 넣어보고 하는 방식인 것이다.

 

크리덴셜 스터핑과 관련한 무료 저작권 이미지를 찾지 못해, 아래 링크를 첨부한다 :)

 

 

지능화되는 개인정보 탈취 범죄

[개인정보 보호와 활용②] 지능화되는 개인정보 탈취 범죄 - 데이터넷

 

 

Akami에 따르면 크리덴셜 스터핑이 아예 자동화된 봇으로 트래픽 상에 돌고 있다고 한다. 그러니까 어떠한 서비스에서 인증이 성공한 정보를 기록해두고 이 정보를 사용해 로그인을 수행할 수 있는 모든 서비스에서 무작위로 인증되는지 타깃이 개인이든 기업이든 돌려놓고 있다는 것이다.  사실 기업이 공격당한 경우는 사태가 훨씬 더 심각해진다. 수백 혹은 수백만 수천만 건에 달하는 고객정보가 저장되어있는 DB에 접속될 수도 있기 때문이다.

 

스피어 피싱으로 주진모와 최현석이 타겟팅되어 계정 정보가 탈취된 것인지 정말 운이 나쁘게도 얻어걸린? 것인지는 찾아봐도 정보가 없으니 현재로써는 알 수 없다. 혹은 내가 못 찾는 것일 수도(?) 있다.

 

 

방지 방법

 

"조금이라도 주의하려면...?"

 

 

이와 같은 해킹 피해를 입지 않기 위한 방지 방법은 누구라도 알 수 있을 만큼 단순하다. ID와 PW가 쉽게 유추될 수 있도록 쉽게 만들지 않고 여러 서비스에 같은 ID와 PW를 쓰지 않고 필요한 경우 다중 인증을 설정하는 것이다.  사실 여태까지 많은 해킹 피해 사건 사고를 겪어오면서 '1234'와 같은 단순한 비밀번호를 허용시켜주는 메이저 서비스가 있는지는 모르겠다. 

 

삼성 계정은, 아래와 같이 2단계 인증을 설정할 수 있다 (설정>계정 및 백업>계정>삼성 계정>비밀번호 및 보안>2단계 인증)

 

삼성 계정 2단계 인증 설정

 

 

하지만 위에 열거된 것은 개인이 신경 써야 할 주의사항이고 사실 크리덴셜 스터핑으로 피해를 본 기업의 경우 해당 기업의 봇을 탐지하는 추가적인 보안 기능이 부실했던 것 아니냐는 의견도 많다.

 

비정상적인 접근 방법을 구분해야 한다는 것이다. 그러기 위해서 기업은 사람이 발생시키는 정상적인 트래픽과 봇이 발생시키는 트래픽을 구분할 방법을 찾아야 한다. 예를 들면, 특정 시간 안에 정상적 사용자라고는 생각할 수 없는 로그인 시도가 일어났다거나 평소보다 실패 빈도수가 높아진다거나 하는 트래픽을 구분하는 것이다.

 

근본적인 해결방법은 위에 열거한 방법들이지만 당장 클라우드의 데이터가 걱정된다면, 일단 내 클라우드에 어떤 데이터가 어디까지 백업되었는지 나도 모르게 백업되어있던 데이터가 있는지, 계정이 연동되어있는지 등을 일단 확인하는 것도 좋을 것 같다.

 

 

마치며

사실 모든 서비스에서 각기 다른 계정 정보를 사용하는 건 쉬운 일은 아니다. 하지만 어찌 됐건 이번 사건에 비추어볼 때, 주의해서 나쁠 건 없다. 추가 피해를 입는 연예인이 생기지 않길 바라면서 해당 포스팅을 마친다.