계정 탈취(ATO) 공격 방어 전략: 기업을 위한 종합 가이드
기업 환경에서, 몇 가지 기본적인 보안 조치를 제대로 실행하는 것만으로도 계정 탈취(ATO) 공격과 같은 흔한 사이버 위협을 효과적으로 방어할 수 있습니다.
2019년 8월 30일, 잭 도시의 트위터(현재 X) 계정은 기이한 사건으로 얼룩졌습니다. 약 20분 동안, 누군가가 그의 계정을 통해 인종 차별적 발언과 공격적인 메시지를 무분별하게 게시했습니다.
일부 팔로워들은 이를 거대 소셜 미디어 플랫폼 CEO의 갑작스러운 정신적 붕괴로 받아들였을 수 있습니다. 하지만 이 사건 배후에 있던 ‘척클링 스쿼드’라는 그룹은 잭의 계정에 디스코드 채널 링크를 남겼습니다.
이후 트위터(현 X)는 이 사건이 해킹 공격임을 공식적으로 확인했습니다.
우리는 @jack 계정이 해킹당했으며, 현재 사건 경위를 조사 중입니다.
이것은 전형적인 계정 탈취 공격(ATO)이며, 특히 심 스와핑(Sim Swapping) 공격을 통해 해커가 잭의 전화번호를 원격으로 제어하고, 제3자 트윗 서비스인 클라우드호퍼(Cloudhopper)를 통해 트윗을 게시했습니다.
만약 최고 기술 회사의 CEO조차 피해자가 될 수 있다면, 일반 사용자의 상황은 얼마나 더 취약할까요?
이제부터 ATO 공격의 다양한 형태와 조직을 안전하게 지키는 방법에 대해 자세히 알아보겠습니다.
ATO 공격이란 무엇인가?
계정 탈취(ATO) 공격은, 이름에서 알 수 있듯이, 다양한 기술을 사용하여 사용자의 온라인 계정을 불법적으로 탈취하는 공격입니다. 해커는 탈취한 계정을 금융 사기, 민감한 정보 접근, 타인 사칭 등 다양한 범죄에 활용합니다.
ATO 공격은 어떻게 작동하는가?
ATO 공격의 핵심은 계정 자격 증명을 훔치는 것입니다. 악의적인 사용자는 다음과 같은 여러 가지 방법을 통해 이를 수행합니다.
- 사회 공학: 심리적인 조작을 통해 개인으로부터 로그인 정보를 얻어내는 방법입니다. 예를 들어, 기술 지원을 가장하거나 긴급 상황을 만들어 피해자가 충분히 생각할 시간을 주지 않고 정보를 제공하도록 유도합니다.
- 크리덴셜 스터핑: 무차별 대입 공격의 일종으로, 해커가 데이터 유출이나 다크웹에서 구매한 로그인 정보를 무작위로 시도합니다.
- 악성코드: 악성 프로그램이 컴퓨터에 침투하여 계정 정보를 훔쳐 사이버 범죄자에게 전송합니다.
- 피싱: 사이버 공격의 가장 일반적인 형태 중 하나로, 사용자를 위조된 웹사이트로 유인하여 로그인 정보를 입력하도록 속입니다.
- MITM (중간자 공격): 해커가 네트워크 트래픽을 가로채 사용자 이름과 비밀번호를 포함한 모든 정보를 훔치는 공격입니다.
이러한 방법은 사이버 도둑이 로그인 정보를 얻기 위해 사용하는 일반적인 수단입니다. 일단 계정을 탈취하면, 해커는 불법 활동을 수행하고, 피해자를 더 큰 위험에 빠뜨리거나, 다른 사람을 공격하기 위해 계정을 가능한 한 오랫동안 ‘활성’ 상태로 유지하려고 시도합니다.
대부분의 공격자는 사용자를 영구적으로 차단하거나, 향후 공격을 위한 백도어를 설치하려고 합니다.
이러한 공격을 겪고 싶어 하는 사람은 아무도 없을 것입니다. 피해를 막기 위해 사전에 예방하는 것이 매우 중요합니다.
ATO 공격 탐지 방법
기업 경영자로서, 사용자와 직원에 대한 ATO 공격을 감지할 수 있는 몇 가지 방법이 있습니다.
#1. 비정상적인 로그인 활동
특히 지리적으로 먼 위치나 다른 IP 주소에서 반복적으로 로그인을 시도하는 것은 의심스러운 활동입니다. 여러 장치 또는 브라우저에서 동시에 로그인하는 경우도 마찬가지입니다.
또한, 정상 근무 시간 외에 발생하는 로그인 활동은 ATO 공격의 징후일 수 있습니다.
#2. 2단계 인증 실패
반복되는 2단계 인증 또는 다단계 인증 실패는 해커가 도난당하거나 유출된 사용자 이름과 비밀번호로 로그인하려고 시도하는 징후일 수 있습니다.
#3. 비정상적인 활동
때로는 이상한 활동을 감지하기 위해 전문가가 필요하지 않을 수도 있습니다. 사용자의 일반적인 행동에서 크게 벗어나는 활동은 ATO 공격의 가능성을 나타낼 수 있습니다.
예를 들어, 부적절한 프로필 사진이나 고객에게 스팸 메일을 보내는 것과 같이 사소한 것일 수도 있습니다.
이러한 공격을 수동으로 감지하는 것은 쉽지 않으므로, 수쿠리 또는 아크로니스와 같은 도구를 사용하여 프로세스를 자동화하는 것이 좋습니다.
이제 이러한 공격을 예방하는 방법에 대해 알아보겠습니다.
ATO 공격 예방
사이버 보안 도구를 사용하는 것 외에도, 다음과 같은 모범 사례를 참고할 수 있습니다.
#1. 강력한 비밀번호
강력한 비밀번호를 선호하는 사람은 없지만, 현재의 사이버 위협 환경에서는 강력한 비밀번호가 필수적입니다. 사용자나 직원이 단순한 비밀번호를 사용하지 않도록 하고, 계정 등록 시 최소한의 복잡성 요구 사항을 설정해야 합니다.
특히 조직의 경우, 1비밀번호 사업과 같은 강력한 비밀번호 관리자를 사용하여 팀의 보안을 강화할 수 있습니다. 비밀번호 저장 기능 외에도, 이러한 도구는 다크웹을 검사하여 자격 증명이 유출되었을 경우 경고를 보내고, 해당 사용자에게 비밀번호 재설정을 요청하도록 돕습니다.
#2. 다단계 인증(MFA)
다단계 인증(MFA)은 웹사이트에 로그인할 때 사용자 이름과 비밀번호 외에 추가 코드를 요구하는 방법입니다. 이 코드는 일반적으로 사용자의 이메일이나 전화번호로 전송됩니다.
MFA는 무단 액세스를 방지하는 효과적인 방법이지만, 사회 공학이나 MITM 공격을 통해 해커가 쉽게 우회할 수 있다는 점을 인지해야 합니다. MFA는 훌륭한 1차 (또는 2차) 방어 수단이지만, 이것만으로는 충분하지 않습니다.
#3. 보안 문자(CAPTCHA) 구현
대부분의 ATO 공격은 봇이 무작위로 로그인 자격 증명을 시도하는 것으로 시작됩니다. 따라서 CAPTCHA와 같은 로그인 질문을 설정하는 것이 효과적인 방어 방법이 될 수 있습니다.
하지만 CAPTCHA가 완벽한 해결책이라고 생각해서는 안 됩니다. 해커들은 CAPTCHA를 우회하는 서비스를 제공하고 있기 때문입니다. 그럼에도 불구하고, CAPTCHA를 사용하는 것은 ATO 공격으로부터 보호하는 데 도움이 될 수 있습니다.
#4. 세션 관리
비활성 세션에 대한 자동 로그아웃은 계정 탈취를 예방하는 데 매우 효과적인 방법입니다. 많은 사용자가 여러 장치에서 로그인한 후 이전 장치에서 로그아웃하지 않기 때문입니다.
또한, 사용자당 하나의 활성 세션만 허용하는 것도 좋은 방법입니다.
사용자가 원격으로 활성 장치에서 로그아웃할 수 있고, UI 자체에 세션 관리 옵션을 제공하는 것이 가장 이상적입니다.
#5. 모니터링 시스템
스타트업이나 중견 기업은 모든 공격 벡터를 처리하기 어려울 수 있습니다. 특히 전담 사이버 보안 부서가 없는 경우에는 더욱 그렇습니다.
이러한 경우, 앞에서 언급한 아크로니스(Acronis) 및 수쿠리(Sucuri) 외에도 클라우드플레어(Cloudflare) 및 임퍼바(Imperva)와 같은 타사 솔루션을 고려해 볼 수 있습니다. 이러한 사이버 보안 회사는 ATO 공격을 효과적으로 예방하고 완화하는 데 도움을 줄 수 있습니다.
#6. 지오펜싱(Geofencing)
지오펜싱은 위치 기반 액세스 정책을 적용하여, 웹 프로젝트의 보안을 강화하는 방법입니다. 예를 들어, 미국에 기반을 둔 회사는 중국 사용자의 액세스를 허용할 필요가 거의 없을 것입니다. 지오펜싱은 ATO 공격을 완전히 막을 수는 없지만, 전체적인 보안을 강화하는 데 도움이 됩니다.
더 나아가 직원에게 할당된 특정 IP 주소만 허용하도록 온라인 비즈니스를 구성할 수도 있습니다.
비즈니스 VPN을 사용하면 계정 탈취 공격을 방지할 수 있습니다. 또한, VPN은 네트워크 트래픽을 암호화하여 MITM 공격으로부터 비즈니스 자산을 보호합니다.
#7. 업데이트
인터넷 기반 사업에서는 운영 체제, 브라우저, 플러그인 등 다양한 소프트웨어 애플리케이션을 사용합니다. 이러한 애플리케이션은 모두 최신 상태로 유지해야 합니다. ATO 공격과 직접적인 연관성은 없지만, 오래된 소프트웨어는 사이버 범죄자가 비즈니스에 침투할 수 있는 쉬운 경로가 될 수 있습니다.
비즈니스 장치에 정기적인 보안 업데이트를 적용하고, 사용자에게 애플리케이션을 최신 버전으로 유지하도록 교육하는 것이 중요합니다.
위에서 언급한 모든 조치를 취하더라도, 100% 안전을 보장할 수는 없습니다. 따라서 최악의 상황에 대비하여 적극적인 치료 계획을 세워야 합니다.
ATO 공격에 대한 대응
각각의 공격 상황은 고유하기 때문에 사이버 보안 전문가의 도움을 받는 것이 가장 좋습니다. 하지만 일반적인 ATO 공격 발생 시 다음과 같은 단계를 따를 수 있습니다.
제한(Contain)
ATO 공격을 감지한 후 가장 먼저 해야 할 일은 영향을 받은 계정을 일시적으로 비활성화하는 것입니다. 다음으로, 모든 계정에 비밀번호와 MFA 재설정을 요청하는 것이 피해를 최소화하는 데 도움이 될 수 있습니다.
알림(Inform)
이벤트와 악의적인 계정 활동에 대해 해당 사용자에게 알려야 합니다. 그리고 안전한 접속을 위해 임시 차단 조치 및 계정 복원 절차를 안내해야 합니다.
조사(Investigate)
조사 과정은 숙련된 전문가 또는 사이버 보안 전문가 팀이 수행하는 것이 가장 좋습니다. 목표는 영향을 받은 계정을 식별하고, 인공지능 기반의 행동 분석 메커니즘을 사용하여 공격자가 더 이상 활동하지 못하도록 하는 것입니다.
데이터 유출이 발생했을 경우, 그 규모를 파악해야 합니다.
복구(Recover)
전체 시스템 맬웨어 검사는 상세한 복구 계획의 첫 번째 단계입니다. 왜냐하면 사이버 범죄자는 시스템을 감염시키거나 향후 공격을 위해 루트킷을 심는 경우가 많기 때문입니다.
이 단계에서 생체 인식 인증(가능한 경우)을 도입하거나, 아직 사용하지 않았다면 MFA를 적극적으로 활용해야 합니다.
보고(Report)
현지 법률에 따라 정부 당국에 공격 사실을 신고해야 할 수도 있습니다. 이를 통해 법규를 준수하고, 필요한 경우 공격자를 상대로 법적 조치를 취할 수 있습니다.
계획(Plan)
이제까지 인지하지 못했던 취약점을 파악했으므로, 이를 향후 보안 계획에 반영해야 합니다.
또한, 사용자에게 이번 사건에 대해 교육하고, 건강한 인터넷 보안 습관을 실천하도록 요청해야 합니다.
미래를 향해
사이버 보안은 끊임없이 진화하는 분야입니다. 10년 전에는 안전하다고 여겨졌던 것들이 현재는 사이버 범죄자를 유인하는 공개 초대가 될 수 있습니다. 따라서 최신 개발 상황을 파악하고, 비즈니스 보안 프로토콜을 정기적으로 업그레이드하는 것이 가장 좋습니다.
만약 관심이 있으시다면, 저희 koreantech.org의 보안 섹션을 북마크하여 정기적으로 업데이트되는 스타트업 및 중소기업 대상 보안 관련 기사를 확인하십시오. 이를 통해 보안 계획을 최신 상태로 유지하는 데 도움이 될 것이라고 확신합니다.
안전하게 지내시고, 해커가 계정을 탈취하도록 두지 마십시오.