목차
주요 시사점
- Roku는 크리덴셜 스터핑 공격으로 인해 15,000개가 넘는 계정에 영향을 미치는 침해를 경험했습니다.
- Roku 보안 알림을 받은 경우 동일한 로그인 정보를 사용하는 다른 계정을 확인해야 합니다.
- 데이터를 보호하려면 손상된 자격 증명에 연결된 모든 계정을 찾아서 보호하세요.
최근 Roku로부터 비밀번호 재설정 이메일을 받으셨나요? 그렇다면 다른 온라인 계정도 확인하는 것이 좋습니다.
2024년 3월, 스트리밍 및 스마트 TV 거대 기업인 Roku는 크리덴셜 스터핑 공격을 통해 15,000개 이상의 계정이 침해되었다고 밝혔습니다. 즉, 동일한 비밀번호를 사용한 모든 계정도 취약하다는 의미입니다.
로쿠에게 무슨 일이 일어났나요? Roku는 어떻게 침해되었나요?
Roku의 공식 데이터 침해 통지 [PDF] 15,000개가 넘는 Roku 계정에서 의심스러운 활동이 발견되었습니다.
그러나 Roku가 이 문제에 정면으로 대처했음에도 불구하고 Roku의 잘못은 전혀 없었습니다. 해당 계정은 모두 크리덴셜 스터핑을 사용해 침해된 것으로 보입니다.
조사를 통해 우리는 승인되지 않은 행위자가 제3자 소스(예: Roku와 관련되지 않은 제3자 서비스의 데이터 침해를 통해)로부터 소비자의 특정 사용자 이름과 비밀번호를 얻었을 가능성이 있다고 판단했습니다. 동일한 사용자 이름/비밀번호 조합이 특정 개인 Roku 계정뿐만 아니라 이러한 제3자 서비스의 로그인 정보로 사용된 것으로 보입니다.
여러 서비스에서 동일한 사용자 이름과 비밀번호 정보를 재사용하는 공격인 크리덴셜 스터핑(Credential Stuffing)은 대규모 사용자 오류이자 대규모 데이터 유출 시대에 큰 문제입니다.
이 경우 공격자는 Roku에 저장된 은행 정보를 사용하여 구매하는 데 해당 정보를 사용했습니다. 하지만 그때에도 Roku는 사회보장번호, 전체 결제 계좌 정보(모든 구매는 Roku로 제한됨) 또는 기타 식별 정보를 제공하지 않았습니다.
Roku 비밀번호 재설정 이메일을 받으셨나요? 다른 계정을 검토해야 합니다
이제 사람들이 여러 서비스에서 동일한 사용자 이름과 비밀번호 조합을 사용하기 때문에 자격 증명 스터핑은 위험합니다. 따라서 위반 이후 Roku로부터 비밀번호 재설정 이메일을 받았다면 다른 계정을 살펴봐야 하는 것이 당연합니다.
일반적으로 사용되는 취약한 비밀번호를 사용하지 않더라도 동일한 사용자 이름과 비밀번호 조합을 사용하는 곳이라면 어디든 위험할 수 있습니다. (절대로 비밀번호를 사용하시면 안됩니다!)
사용자 이름과 비밀번호가 침해되었는지 확인하는 방법
귀하의 이메일과 비밀번호 조합이 침해에 노출되었는지 알아내는 방법에는 몇 가지가 있습니다.
첫 번째는 다음으로의 여행과 관련이 있습니다. HaveIBeenPwned, Troy Hunt의 믿을 수 없을 만큼 유용하고 무료인 데이터 유출 검사 사이트입니다. 이메일 주소를 입력하고 pwned?를 누르면 귀하의 이메일 주소가 발견된 모든 데이터 유출이 표시됩니다.
이는 좋은 출발점이지만 사용자 이름, 계정 이름, 비밀번호 등을 지정하지 않습니다(합당한 이유가 있습니다!). 사용자 이름과 비밀번호 조합을 어디에 사용했는지 알아내려면 수동으로 더 자세히 조사해야 합니다. 이메일 주소와 연결된 계정을 찾는 방법을 자세히 다루었지만 사용할 수 있는 방법에 대한 간략한 개요는 다음과 같습니다.
기존 계정을 추적할 때 각각의 계정을 강력하고 고유한 비밀번호로 변경하세요. 그렇게 하면 크리덴셜 스터핑 공격뿐만 아니라 다른 유형의 계정 침해, 비밀번호 사기 등으로부터 계정을 안전하게 보호할 수 있습니다.
그러니 잠시 시간을 내어 받은편지함에서 Roku 비밀번호 재설정 이메일을 검색해 보세요. 이메일이 있으면 안전을 위해 조치를 취하세요!