서비스의 방어 수준이 높아지면서, 개인정보를 빼내기 위한 해커들의 수법도 진화하고 있다. 최근에는 접근권한 취약점(Broken Access Control)을 이용해 잠입한 뒤, 누군가의 정보를 조회하는 정상적인 행위로 가장해 개인정보를 빼오는 수법이 많이 쓰이고 있다. 또 한 서비스에서 빼낸 개인정보를 바로 범죄에 이용하는 것이 아니라, 여러 개의 서비스에서 빼낸 데이터와 이미 유출된 데이터 등을 모두 조합해 정보의 가치를 높여 이용하는 추세다. 이에 기업의 정보보호 담당자들은 회사 밖에서 일어난 개인정보 유출 사고가 회사에 영향을 줄 가능성도 고려해야 한다는 조언이 나온다.
국내 사이버보안업체 스틸리언의 신동휘 최고기술책임자(CTO)는 지난 2일 서울 삼성동 코엑스 그랜드볼룸에서 개최된 제 11회 '개인정보보호 페어 2022'에서 '해커조직의 먹잇감 개인정보 탈취수법과 피해사례'에 대해 발표하며 이같이 설명했다.
신 CTO는 이날 해커들이 공격의 성공률을 높이기 위해 개인의 '크리덴셜'과 '아이덴티티' 정보를 모두 노리고 있다는 점을 강조했다.
크리덴셜은 어딘가에 들어갈 때 자신임을 확인해 주는 출입증이나 접근코드 등의 자격증명이다. 아이덴티티는 좀 더 큰 개념으로 출생지, 학교, 성적, 신용도처럼 개인의 다양한 정보가 모두 포함된다.
그는 "해커는 이 두가지를 정보를 다 원하는데, 탈취 목적은 다르다"고 했다. 크리덴셜은 해커가 자신의 정체를 숨기고 시스템을 속이기 위해 필요하고, 아이덴티티 정보는 악의적인 행동의 성공률을 높이기 위해 필요하다는 설명이다.
특히 아이덴티티는 개인에 대해 더 입체적인 정보를 제공한다는 점에서 비싸게 거래되고 있다고 한다. 신 CTO는 "아이덴티티는 이 사람이 수익은 얼마인지, 1금융권에서 대출을 받을 수 있는 신용상태인지, 주변에 신뢰할 만한 사람은 누구지 등 피해자를 유인할 수 있는 정보를 포함하고 있다"며 "크리덴셜 하나는 100원도 안 되는데, 아이덴티티 정보는 500만 원까지도 팔린다"고 말했다.
■공격 수법의 진화..."차근차근 모아서 정보 가치 높여"
신 CTO는 개인정보를 빼내기 위한 해커들의 공격 수법도 바뀌고 있다고 설명했다.
과거에는 SQL인젝션을 가장 많이 썼다. SQL 인젝션은 데이터 베이스에 대한 질의값을 조작해 해커가 원하는 자료를 데이터베이스로부터 유출하는 공격 기법이다. 한 번의 공격으로 많은 정보를 탈취할 수 있다는 점에서 공격자들이 선호했다.
실제 지난 2017년 'OWASP 톱10' 순위에서 '인젝션'은 1위를 기록했다. 하지만 지난해에는 인젝션이 3위로 내려갔다. 이 랭킹은 국제 웹 보안 표준 기구(OWASP)가 3~4년간 발견된 웹 애플리케이션 취약점 중 가장 영향력 있고 위협적인 취약점을 선정해 순위를 매긴 것이다.
대신 접근권한 취약점 공격이 인기를 얻고 있다. 접근권한 취약점은 2021년 OWASP 톱10 1위로 올라가기도 했다.
신 CTO는 해커들이 접근권한 취약점 이용 공격으로 눈을 돌린 이유를 크게 두가지로 봤다. 먼저 SQL인젝션을 막는 장비가 많이 나오고 관리자들의 대응능력이 높아졌기 때문이다. 또 서비스 개발에 프레임워크를 많이 쓰면서 프레임워크에서 기본적으로 SQL인젝션 같은 공격이 잘 풀리지 않게 막아주고 있기도 하다.
그는 "최근에는 액세스 컨트롤이 깨져 있는 경우, 그걸 접근해서 권한을 획득하거나 정보를 훔쳐가는 경우가 많다"며 "접근권한 취약점은 서비스에서 누군가의 정보를 조회하는 방식으로 하나씩 정보를 빼가는데, 이런 행위는 시스템 입장에서 정상 행위라 아주 디테일하게 보지 않으면 찾아내기 어렵다"고 설명했다.
해커들이 개인정보를 최대한 모아서 보다 값비싼 정보로 만들어서 쓰고 있다는 점도 최근 추세다. 개인정보를 판매하는 시장이 활성화됐기 때문이다.
그는 "과거에는 서비스 하나만 공격하고 끝났지만 이제는 절대 그렇지 않다"며 "전 세계 서비스가 널려 있기 때문에 자신이 정보를 구할 수 있는 곳이면 어디든지 가서 훔치려고 한다. 또, 이미 유출돼 있는 개인정보가 많기 때문에 여기저기 널려 있는 것을 모아온다. 최대한 모아서 가치 있는 걸 만들어서 팔려고 한다"고 지적했다.
관련기사
- 해커가 숨긴 악성코드, 리버스엔지니어링 기술로 찾는다2022.05.04
- "잘 막으려면 해커처럼 생각하라"2022.05.02
- 삼성·엔비디아 뚫은 해커조직, T모바일 시스템도 침입2022.04.24
- 랜섬웨어 치료제 만드는 사람들..."해커도 사람, 허점 있다"2022.04.21
이어 "예전에는 개인정보가 유출되고 끝났지만 이제는 훔쳐서 판매하는 시대가됐다"며 "이제 2차 피해에 대한 우려가 나온다"고 덧붙였다.
기업의 보안 담당자 입장에서 보면, 이제 우리 회사만 개인정보를 잘 관리한다고 안전한 환경이 되는 게 아니다. 신 CTO는 이에 "요즘처럼 아주 복잡하고 아주 다양한 서비스들이 공존해서 돌아가고 있는 경우, 다른 데서 생긴 사고가 우리 회사에도 영향을 주게 된다"며 "이제는 다른 곳에서 생긴 문제도 자세히 보고 우리 회사에 어떤 영향을 미치는지 꼭 확인해야 한다"고 조언했다.