주요 요점
- Roku는 자격 증명 스터핑 공격으로 인해 15,000개 이상의 계정이 손상되는 피해를 입었습니다.
- Roku 보안 알림을 받으셨다면, 동일한 로그인 정보를 사용하는 다른 계정을 확인해야 합니다.
- 데이터를 보호하려면 손상된 자격 증명과 연결된 모든 계정을 찾아 안전하게 보호하세요.
최근에 Roku로부터 비밀번호 재설정 이메일을 받으셨나요? 만약 그렇다면, 다른 온라인 계정들도 확인해 보시는 것이 좋습니다.
2024년 3월, 스트리밍 및 스마트 TV 분야의 선두 기업인 Roku는 자격 증명 스터핑 공격으로 인해 15,000개가 넘는 계정이 침해되었다고 발표했습니다. 이는 곧 동일한 비밀번호를 사용했던 다른 계정들도 위험에 노출될 수 있다는 것을 의미합니다.
Roku에 무슨 일이 일어났으며, 어떻게 침해되었을까요?
Roku의 공식 데이터 침해 통지에 따르면, 15,000개 이상의 Roku 계정에서 수상한 활동이 발견되었습니다.
Roku는 이 문제를 적극적으로 해결했지만, 이번 사건은 Roku의 과실로 발생한 것이 아닙니다. 해당 계정들은 모두 자격 증명 스터핑 공격을 통해 침해된 것으로 파악됩니다.
조사 결과, 승인되지 않은 공격자가 제3자 소스(Roku와 관련 없는 다른 서비스의 데이터 침해를 통해)로부터 사용자의 특정 사용자 이름과 비밀번호를 획득했을 가능성이 있습니다. 그리고 이러한 사용자 이름/비밀번호 조합이 Roku 계정뿐만 아니라 다른 서비스의 로그인 정보로도 사용된 것으로 보입니다.
자격 증명 스터핑은 여러 서비스에서 동일한 사용자 이름과 비밀번호를 재사용하는 공격으로, 대규모 사용자 실수이자 대규모 데이터 유출 시대의 큰 문제입니다.
이번 사건에서 공격자들은 Roku에 저장된 은행 정보를 이용하여 구매를 시도했습니다. 하지만 Roku는 사회보장번호나 전체 결제 계좌 정보(모든 구매는 Roku 내에서만 이루어짐) 또는 기타 식별 정보를 제공하지 않았습니다.
Roku 비밀번호 재설정 이메일을 받으셨나요? 다른 계정을 확인해야 합니다.
자격 증명 스터핑은 여러 서비스에서 동일한 사용자 이름과 비밀번호 조합을 사용하는 사람들에게 위험합니다. 따라서 Roku로부터 비밀번호 재설정 이메일을 받았다면, 다른 계정들도 확인해야 합니다.
취약한 일반 비밀번호를 사용하지 않더라도, 동일한 사용자 이름과 비밀번호 조합을 사용하는 모든 곳이 위험할 수 있습니다. (절대로 비밀번호를 재사용하지 마세요!)
사용자 이름과 비밀번호가 유출되었는지 확인하는 방법
자신의 이메일과 비밀번호 조합이 데이터 유출에 노출되었는지 알아보는 방법은 여러 가지가 있습니다.
가장 먼저 시도해 볼 수 있는 방법은 HaveIBeenPwned 웹사이트를 방문하는 것입니다. Troy Hunt가 운영하는 이 유용한 무료 데이터 유출 확인 사이트에 이메일 주소를 입력하고 “pwned?”를 클릭하면, 해당 이메일 주소가 발견된 모든 데이터 유출 기록을 확인할 수 있습니다.
이 방법은 좋은 시작이지만, 특정 사용자 이름, 계정 이름 또는 비밀번호를 알려주지는 않습니다. (여기에는 합당한 이유가 있습니다!). 사용자 이름과 비밀번호 조합을 어디에 사용했는지 확인하려면 더 자세한 수동 조사가 필요합니다. 계정 찾기에 도움이 되는 방법은 다음과 같습니다.
- 이메일에 연결된 계정 무료로 찾기: Gmail이나 Outlook과 같은 이메일 계정은 연결된 계정을 추적하고 정보를 제공할 수 있습니다.
- Facebook과 Twitter로 소셜 로그인 찾기: 소셜 미디어 계정으로 로그인한 모든 앱과 웹사이트를 확인하세요.
- 받은 편지함에서 계정 확인 메시지 검색: 받은 편지함을 검색하여 계정 가입 확인 메시지를 찾아보세요.
- 제3자 계정 삭제 도구 사용: 계정을 추적하고 삭제할 수 있는 도구를 이용해보세요.
- 모든 온라인 계정 찾기: Namechk 같은 서비스를 이용하여 웹사이트에서 사용 가능한 사용자 이름을 검색해보세요. 해당 이름이 사용되었다면 계정이 있을 가능성이 있습니다.
- 브라우저에 저장된 계정 확인: 가장 안전한 방법은 아니지만, 많은 사람들이 브라우저에 저장된 계정을 사용하고 있습니다.
- 비밀번호 관리자 사용: 비밀번호 관리자를 사용하는 경우, 강력하고 고유한 비밀번호를 사용하고 있을 가능성이 높지만, 예외적으로 중복되거나 취약한 비밀번호를 사용했을 수도 있습니다.
기존 계정을 찾으면 각각의 계정 비밀번호를 강력하고 고유한 것으로 변경해야 합니다. 이렇게 하면 자격 증명 스터핑 공격뿐만 아니라 다른 유형의 계정 침해나 비밀번호 사기 등으로부터 계정을 안전하게 보호할 수 있습니다.
그러니 잠시 시간을 내어 받은 편지함에서 Roku 비밀번호 재설정 이메일을 찾아보세요. 만약 이메일이 있다면, 안전을 위해 즉시 조치를 취해야 합니다!