계정 탈취 공격(ATO)을 탐지, 예방 및 완화하는 방법

기업에서는 몇 가지 기본 사항을 올바르게 수행하면 가장 일반적인 유형의 사기인 계정 탈취 공격(ATO)을 쉽게 방어할 수 있습니다.

2019년 8월 30일 오후는 Jack Dorsey의 트위터(현재 X) 팔로워들에게는 기이한 일이었습니다. “그 사람”은 약 20분 동안 인종차별적 비방과 기타 공격적인 메시지를 트위터에 올리는 무분별한 행태를 보였습니다.

그의 팬들은 이를 최대 규모의 마이크로블로깅 웹사이트 CEO의 비정상적인 정신적 붕괴로 받아들였을 수도 있습니다. 그러나 이 “모험” 뒤에 있는 그룹인 Chuckling Squad는 Jack 계정의 오해의 소지가 있는 트윗에 디스코드 채널 링크를 남겼습니다.

이후 트위터(현 X)가 해당 사건을 확인했다.

우리는 그것을 알고 있습니다 @잭 손상되어 무슨 일이 있었는지 조사하고 있습니다.

— 트위터 커뮤니케이션 (@TwitterComms) 2019년 8월 30일

이는 전형적인 계정 탈취(ATO) 공격으로, 특히 Sim Swapping 공격으로 해커가 원격으로 Jack의 전화번호를 제어하고 제3자 트윗 서비스인 Cloudhopper에서 트윗을 올렸습니다.

최고 수준의 기술 회사의 CEO가 피해자가 될 수 있다면 일반 사용자에게 유리한 확률은 얼마나 될까요?

그럼, 저와 함께 ATO의 다양한 형태와 조직을 안전하게 유지하는 방법에 대해 이야기해 보세요.

ATO 공격이란 무엇입니까?

이름에서 알 수 있듯이 계정 탈취(ATO) 공격은 다양한 기술(나중에 설명)을 사용하여 금융 사기, 민감한 정보 액세스, 타인 사기 등 다양한 불법 목적을 위해 피해자의 온라인 계정을 탈취합니다.

ATO는 어떻게 운영되나요?

ATO 공격의 핵심은 계정 자격 증명을 도용하는 것입니다. 악의적인 행위자는 다음과 같은 다양한 수단을 통해 이를 수행합니다.

  • 사회 공학: 개인이 자신의 로그인 정보를 공개하도록 심리적으로 강요하거나 설득하는 것입니다. 이는 기술 지원을 구실로 수행되거나 긴급 상황을 조작하여 피해자가 합리적으로 생각할 시간을 거의 주지 않을 수 있습니다.
  • 크리덴셜 스터핑(Credential Stuffing): 무차별 공격의 하위 집합인 크리덴셜 스터핑은 사기꾼이 임의의 로그인 세부 정보를 작동시키려고 시도하는 것을 의미하며, 종종 데이터 침해로 얻거나 다크 웹에서 구매합니다.
  • 악성 코드: 위험하고 원치 않는 프로그램은 컴퓨터에 많은 영향을 미칠 수 있습니다. 그러한 사례 중 하나는 로그인된 계정을 훔치고 세부 정보를 사이버 범죄자에게 보내는 것입니다.
  • 피싱: 가장 일반적인 형태의 사이버 공격인 피싱은 일반적으로 간단한 클릭으로 시작됩니다. 겉보기에 무해해 보이는 이 행동은 사용자를 피해자가 로그인 자격 증명을 입력하는 위조 사이트로 유도하여 다가오는 ATO 공격의 발판을 마련합니다.
  • MITM: 중간자 공격은 숙련된 해커가 들어오고 나가는 네트워크 트래픽을 “듣는” 상황을 나타냅니다. 귀하가 입력한 사용자 이름과 비밀번호를 포함한 모든 정보는 악의적인 제3자에게 공개됩니다.
  • 이는 사이버 도둑이 로그인 자격 증명을 범죄적으로 획득하기 위해 사용하는 표준 방법이었습니다. 다음은 계정 탈취, 불법 활동, 그리고 사용자를 더욱 희생시키거나 다른 사람을 공격하기 위해 가능한 한 오랫동안 액세스를 “활성”으로 유지하려는 시도입니다.

    대개 공격자는 사용자를 무기한으로 차단하거나 향후 공격을 위해 백도어를 설정하려고 합니다.

    아무도 이 일을 겪고 싶어하지 않지만(Jack도 마찬가지였습니다!), 피해를 피하기 위해 미리 잡을 수 있다면 큰 도움이 됩니다.

    ATO 공격 탐지

    사업주로서 사용자나 직원에 대한 ATO 공격을 발견할 수 있는 몇 가지 방법이 있습니다.

    #1. 비정상적인 로그인

    이는 특히 지리적으로 먼 위치에서 다른 IP 주소에서 반복적으로 로그인을 시도할 수 있습니다. 마찬가지로 여러 장치나 브라우저 에이전트에서 로그인할 수 있습니다.

    또한, 정상 근무 시간 이외의 로그인 활동은 ATO 공격 가능성을 반영할 수 있습니다.

    #2. 2FA 실패

    반복되는 2단계 인증 또는 다단계 인증 실패 역시 위법 행위를 나타냅니다. 대부분의 경우 악의적인 행위자가 유출되거나 도난당한 사용자 이름과 비밀번호를 알아낸 후 로그인을 시도하는 경우가 많습니다.

    #삼. 비정상적인 활동

    때때로 이상 현상을 기록하는 데 전문가가 필요하지 않은 경우도 있습니다. 일반적인 사용자 행동에서 크게 벗어난 모든 행위는 계정 탈취 대상으로 표시될 수 있습니다.

    부적절한 프로필 사진이나 고객에게 일련의 스팸 이메일을 보내는 것처럼 간단할 수도 있습니다.

    궁극적으로 이러한 공격을 수동으로 탐지하는 것은 쉽지 않으며 다음과 같은 도구를 사용합니다. 수쿠리 또는 아크로니스 프로세스를 자동화하는 데 도움이 될 수 있습니다.

    계속해서 먼저 이러한 공격을 피하는 방법을 살펴보겠습니다.

    ATO 공격 방지

    사이버 보안 도구를 구독하는 것 외에도 참고할 수 있는 몇 가지 모범 사례가 있습니다.

    #1. 강력한 비밀번호

    강력한 비밀번호를 좋아하는 사람은 없지만 현재의 위협 환경에서는 비밀번호가 절대적으로 필요합니다. 따라서 사용자나 직원이 단순한 비밀번호를 사용하지 못하게 하고 계정 등록에 대한 최소한의 복잡성 요구 사항을 설정하십시오.

    특히 조직의 경우, 1비밀번호 사업 팀을 위해 열심히 일할 수 있는 비밀번호 관리자를 위한 강력한 선택입니다. 비밀번호 보관 기능 외에도 최고의 도구는 다크 웹을 검사하여 자격 증명이 유출될 경우 경고합니다. 영향을 받는 사용자나 직원에게 비밀번호 재설정 요청을 보내는 데 도움이 됩니다.

    #2. 다단계 인증(MFA)

    모르시는 분들을 위해 말씀드리자면, 다단계 인증이란 웹사이트에 로그인하기 위해 사용자 이름과 비밀번호 조합 외에 추가 코드(사용자의 이메일이나 전화번호로 전달됨)를 요청한다는 의미입니다.

    이는 일반적으로 무단 액세스를 방지하는 강력한 방법입니다. 그러나 사기꾼은 사회 공학이나 MITM 공격을 통해 MFA를 신속하게 수행할 수 있습니다. 따라서 이는 훌륭한 1차(또는 2차) 방어선이지만 이 이야기에는 더 많은 이야기가 있습니다.

    #삼. 보안 문자 구현

    대부분의 ATO 공격은 봇이 무작위 로그인 자격 증명을 시도하는 것으로 시작됩니다. 따라서 CAPTCHA와 같은 로그인 질문을 설정하는 것이 훨씬 더 좋습니다.

    하지만 이것이 궁극적인 무기라고 생각한다면, 악의적인 행위자가 배포할 수 있는 CAPTCHA 해결 서비스가 있기 때문에 다시 생각해 보십시오. 그럼에도 불구하고 많은 경우 CAPTCHA를 보유하고 ATO로부터 보호하는 것이 좋습니다.

    #4. 세션 관리

    비활성 세션에 대한 자동 로그아웃은 일부 사용자가 여러 장치에서 로그인하고 이전 장치에서 로그아웃하지 않고 다른 장치로 이동하기 때문에 일반적으로 계정 탈취에 대한 생명의 은인이 될 수 있습니다.

    또한 사용자당 하나의 활성 세션만 허용하는 것도 도움이 될 수 있습니다.

    마지막으로, 사용자가 원격으로 활성 장치에서 로그아웃할 수 있고 UI 자체에 세션 관리 옵션이 있는 것이 가장 좋습니다.

    #5. 모니터링 시스템

    스타트업 또는 중견 조직으로서 모든 공격 벡터를 다루는 것은 쉽지 않습니다. 특히 전담 사이버 안전 부서가 없는 경우에는 더욱 그렇습니다.

    여기에서는 이미 언급된 Acronis 및 Sucuri 외에도 Cloudflare 및 Imperva와 같은 타사 솔루션을 사용할 수 있습니다. 이러한 사이버 보안 회사는 이러한 문제를 가장 잘 처리하고 ATO 공격을 효율적으로 예방하거나 완화할 수 있습니다.

    #6. 지오펜싱

    지오펜싱은 웹 프로젝트에 위치 기반 액세스 정책을 적용하고 있습니다. 예를 들어, 100% 미국 기반 기업은 중국 사용자를 허용할 이유가 거의 또는 전혀 없습니다. 이는 ATO 공격을 방지하는 완벽한 솔루션은 아니지만 전반적인 보안을 강화합니다.

    이를 몇 단계 더 발전시키면 직원에게 할당된 특정 IP 주소만 허용하도록 온라인 비즈니스를 구성할 수 있습니다.

    즉, 비즈니스 VPN을 사용하여 계정 탈취 공격을 막을 수 있습니다. 게다가 VPN은 들어오고 나가는 트래픽을 암호화하여 중간자 공격으로부터 비즈니스 리소스를 보호합니다.

    #7. 업데이트

    인터넷 기반 비즈니스에서는 아마도 운영 체제, 브라우저, 플러그인 등과 같은 많은 소프트웨어 응용 프로그램을 다룰 것입니다. 이러한 응용 프로그램은 모두 오래되었으며 최상의 보안을 위해 업데이트해야 합니다. ATO 공격과 직접적인 관련은 없지만, 오래된 코드 조각은 사이버 범죄자가 귀하의 비즈니스에 큰 타격을 줄 수 있는 쉬운 관문이 될 수 있습니다.

    요점: 비즈니스 장치에 정기적인 보안 업데이트를 적용하세요. 사용자에게는 애플리케이션을 최신 버전으로 유지하도록 교육하는 것이 좋은 진전이 될 수 있습니다.

    이 모든 것 외에도 100% 안전을 보장할 수 있는 보안 전문가는 없습니다. 따라서 운명적인 날을 대비해 적극적인 치료 계획을 세워야 합니다.

    ATO 공격에 맞서기

    가장 좋은 점은 각 사례가 고유하므로 사이버 보안 전문가를 탑승시키는 것입니다. 그러나 일반적인 ATO 이후 공격 시나리오를 안내하는 몇 가지 단계는 다음과 같습니다.

    포함하다

    일부 계정에서 ATO 공격을 감지한 후 가장 먼저 해야 할 일은 영향을 받은 프로필을 일시적으로 비활성화하는 것입니다. 다음으로, 모든 계정에 비밀번호와 MFA 재설정 요청을 보내는 것은 피해를 제한하는 데 도움이 될 수 있습니다.

    알리다

    이벤트 및 악의적인 계정 활동에 대해 대상 사용자에게 전달합니다. 다음으로, 안전한 접속을 위해 일시적 차단 조치 및 계정 복원 절차를 안내해 드립니다.

    조사하다

    이 프로세스는 노련한 전문가나 사이버 보안 전문가 팀이 가장 잘 수행할 수 있습니다. 목표는 영향을 받은 계정을 식별하고 행동 분석과 같은 AI 기반 메커니즘의 도움을 받아 공격자가 여전히 활동하지 못하도록 하는 것일 수 있습니다.

    또한, 데이터 침해가 있는 경우 그 정도를 알아야 합니다.

    다시 덮다

    전체 시스템 맬웨어 검사는 자세한 복구 계획의 첫 번째 단계여야 합니다. 왜냐하면 범죄자는 시스템을 감염시키거나 향후 공격에 대한 액세스를 유지하기 위해 루트킷을 심는 경우가 많기 때문입니다.

    이 단계에서는 생체 인식 인증(가능한 경우)을 추진하거나 아직 사용하지 않은 경우 MFA를 추진할 수 있습니다.

    보고서

    현지 법률에 따라 정부 당국에 신고해야 할 수도 있습니다. 이렇게 하면 규정을 준수하고 필요한 경우 공격자를 상대로 소송을 제기하는 데 도움이 됩니다.

    계획

    이제 당신은 자신도 모르는 사이에 존재했던 몇 가지 허점에 대해 알게 되었습니다. 이제 미래의 보안 패키지에서 이 문제를 해결해야 할 때입니다.

    또한 이번 사건에 대해 사용자들에게 교육하고 향후 문제가 발생하지 않도록 건강한 인터넷 위생을 실천할 것을 요청드립니다.

    미래로

    사이버 보안은 진화하는 영역입니다. 10년 전에는 안전하다고 여겨졌던 것들이 현재는 사기꾼을 불러들이는 공개 초대일 수도 있습니다. 따라서 개발 상황을 파악하고 정기적으로 비즈니스 보안 프로토콜을 업그레이드하는 것이 최선의 방법입니다.

    관심이 있으시다면 koreantech.org의 보안 섹션은 우리가 정기적으로 작성하고 업데이트하는 신생 기업 및 SMB를 대상으로 한 북마크 가치가 있는 기사 라이브러리입니다. 계속해서 이러한 내용을 확인하시면 보안 계획의 “유지” 부분을 확인하실 수 있을 것이라고 확신합니다.

    안전하게 지내시고 그들이 해당 계정을 장악하도록 놔두지 마십시오.