해커들, 크리덴셜 훔쳐낸 뒤 4단계로 활용하며 단물 뺀다 (보안뉴스, 문가용 기자, 2021.02.17.)
보안 업체 F5 네트웍스(F5 Networks)에 따르면 크레덴셜이 탈취된 것이 알려지기도 전에 이미 공격자들은 해당 크레덴셜을 활용하기 시작한다고 한다. 그래서 이미 알려지고 조사가 들어갈 때는 크리덴셜의 가치가 줄어든 때라고 한다.
F5 네트웍스가 최근 알려진 크리덴셜 관련 사고들을 분석한 결과, 피해자가 자신의 크레덴셜이 탈취된 것을 파악하는데는 평균 4개월이 소요되며, 탈취된 크리덴셜들은 4단계에 걸쳐 악용된다고 한다. 이 때, 피해자가 피해 사실을 알게되는 경로는 외부 매체에서 제공하는 정보를 통하는 것이 일반적이다.
F5의 한 위협 분석가는 최초로 크레덴셜을 탈취한 사람은 우선 며칠간은 해당 정보를 자신의 목적을 위해 사용한다고 설명했다. 이 때 목적은 특정 네트워크에 침입하여 공격 지속성을 확보하거나 다른 주요 계정을 탈취하는 것이다. 이런 식으로 탈취한 데이터를 판매하는 식으로 현금화를 한다.
2단계에서는 해당 크리덴셜 데이터를 공유하기 시작한다. 데이터가 다크웹에 올라가며, 크리덴셜 스터핑 공격이 급증하기 시작한다. 이러한 시기는 약 한달 정도이며, 이 시기에 크리덴셜 스터핑 공격이 급증하면서 피해자들이 피해 사실을 알게 된다.
이어서 세 번째 단계로 접어든다. 이 시기에는 아마추어 해커들도 해당 크리덴셜을 가지고 온갖 주요 서비스들을 공격하기 시작한다. 이 시기에 기업들이 규정 위반으로 벌금을 내어 경제적 손실이 가장 많이 발생한다고 한다. 아마 크레덴셜이 유출된 것에 대한 벌금을 의미하는 듯 하다.
마지막 네 번째 단계에서는 크리덴셜들의 가치가 많이 하락한 상태다. 그래서 다른 크레덴셜들과 합쳐서 ‘종합선물세트’와 같은 상품으로 재구성한다. 가치가 하락하긴 했지만 여전히 못 쓸 정도는 아니라 이런 식의 사업도 수익이 나쁘지 않다고 한다. 네 번째 단계 이후의 크리덴셜은 폐기처분 된다. 삭제되는 것이 아니라 시장에서 사라진다는 의미다.
공격자들은 1단계에서 하루 평균 15~20회 정도 훔친 크리덴셜을 사용하는 것으로 조사됐다. 3단계에서는 하루 130번 정도 활용되며, 4단계가 되면 하루 28회 정도로 줄어든다. 분석가는 크레덴셜 스터핑은 매우 장기적인 문제이며, 절대 얕잡아 봐서는 안되는 위협이라고 말한다.