에듀스페셜

야후 해킹, 5억명 정보 유출, 무엇을 조심해야하나

관리자 0 476 2016.11.23 04:06


472badf94d78da2c549564aaae4b17ce_1479841
 

 

지난 22일 포털사이트 야후가 최소 5억 명의 계정에서 개인정보가 유출됐다고 밝혔다.

 

야후는 밥 로드(Bob Lord) CISO(정보보호 최고책임자) 명의의 성명을 통해서 지난 2014년 말 사용자 계정 정보가 유출됐다며 해커의 배후에 특정 국가(state-sponsored actor)가 있는 것으로 추정된다고 했으나 구체적인 사항은 언급하지 않았다. 유출된 정보는 사용자 이름과 이메일 주소, 전화번호, 생년월일, 암호화된 패스워드 

(hashed passwords -the vast majority with bcrypt) 등이다. 

 

야후는 다만 신용카드나 은행계좌 정보는 유출되지 않았다고 강조했다. 야후는 또 사태 해결을 위해 사법 당국과 협조 중이며 피해를 입었을 가능성이 있는 사용자들에게 유출 사실을 통지하고 해당 계좌 보안을 위한 절차를 진행 중이라고 설명했다. 동시에 야후는 2014년 이후 비밀번호를 변경하지 않은 가입자는 비밀번호를 바꾸고, 의심스런 활동이 있었는지 등을 점검할 것을 권고했다. 

(자세한 내용은 야후 Help의 Account Security Issue FAQs 페이지에 설명되어 있다.)

 

이에 앞서 지난 8월 야후 계정 2억 개의 정보가 온라인 암거래사이트 (Dark web)에 매물로 나왔다.

‘피스(Peace)’ 혹은 ‘피스오브마인드(peace_of_mind)’로 알려진 해커는 다크웹의 마켓 플레이스인 리얼딜마켓(TheRealDeal Market)장터에 야후 계정에서 빼낸 사용자 이름과 암호, 생년월일, 백업 이메일 주소 등의 정보를 판매한다는 게시물을 올렸다.이 해커는 마이스페이스(MySpace)와 링크드인(Linkedln) 계정 수백만 개의 정보를 팔았던 인물이다. 그는 지난 5월 마이스페이스 사용자 3억6000만명 이메일 주소와 암호를 인터넷 암시장에서 판매했다. 당시 입찰 가격은 6비트코인이었다. 그는 마이스페이스의 고객 정보를 팔기 한 주 전 링크드인 사용자 1억6400만명의 정보도 암시장에 내놨다. 야후의 개인정보는 시작가가 3 비트코인, 즉 1천860 달러 정도였다. 

 

계정 정보가 매물로 올라온 다크웹은 일반적인 검색 엔진으로 찾을 수 없어 주로 불법적인 정보가 거래되는 웹페이지다. 야후 계정 정보가 판매되고 있다고 처음으로 보도한 IT전문지 마더보드(Motherboard)는 5천 개의 샘플 가운데 20여 개를 테스트해 이 가운데 대부분이 실제 야후 계정이라는 것을 확인했다.누데이터 시큐리티의 리사 바건은 해커가 최근 야후를 인수하기로 한 버라이즌에 돈을 요구했다가 거절당하자 자료를 온라인에 내놨을 것이라고 텔레그래프에 말했다. 또 그는 “야후가 암호를 저장하고 보호하는 방식을 바꾸기 전인 2012년에 해킹이 이뤄진 것으로 보인다”고 추정했다. 

 

 

당시 야후 측은 해커의 주장에 대해 인지하고 있다면서도 이용자 정보 유출이 있었는지에 대해서는 답변하지 않으며  자세한 상황을 조사할 것이라고 밝혔다.

 

물론 지난 8월의 2억 건 정보유출 사건과 이번에 발표한 5억 건의 정보유출 사건은 별개의 것일 수도 있다. 

보안 전문업체인 센티넬원(SentinelOne)의 CSO인 예레미야 그로스만(Jeremiah Grossman)은 야후의 이전 정보보안 담당자로, “예를 들어 중국 해커들이 공격자라고 한다면 정보를 암시장에 팔지는 않았을 것”이라며 아직까지 이 두 건의 사고는 별개의 것으로 보인다는 의견을 피력했다. 

 

이번 사건으로 야후 계정의 로그인 정보(특히 암호)를 다른 인터넷 서비스나 기업 망에 똑같이 사용하고 있던 사용자들이 가장 위험한 상태인 것으로 나타났다. 야후 사용자라면 다른 계정의 로그인 정보를 당장 바꿔야 한다는 것이다. 다행히 야후 사용자의 크리덴셜을 활용한 후속 범죄가 아직은 일어나지 않은 것으로 보인다. 

 

하지만 야후는 미국 내 가장 큰 포털이어서 줄소송이 예상된다. 개인정보 유출에 따른 보상 비용은 데이터당 221달러로 알려져 있는데 조사 결과에 따라 개인정보 피해 보상으로  천문학적인 비용이 들어갈 수도 있다.

 

야후의 계정은 주로 이메일로 사용되는데, 보통 이메일 계정은 사용자들의 온라인 활동의 중심이다. 이메일 주소는 프라이빗 커뮤니케이션용으로 사용될뿐만 아니라 복구 지점으로, 수많은 웹사이트에서 계정을 위한 로그인 신원 확인에도 사용된다. 때문에 이메일 해킹은 가장 나쁜 데이터 유출 사고 가운데 하나로, 이를 통해 개인 사용자는 온라인에서 최악의 경험을 할 수 있다. 이를 대비하기 위해 IT 전문 DGI News Service의 루시안 콘스탄틴(Lucian Constantin)은  개인이 알아야 할 것들에 대해 다음과 같이 제시했다.

 

472badf94d78da2c549564aaae4b17ce_1479841 

 

►암호화라고 같은 암호화가 아니다

야후가 밝힌 바에 따르면, 도난당한 계정 비밀번호들은 해시 알고리즘인 비크립트(BCrypt)로 암호화되어 있다. 암호화 기법의 한 방법인 해싱(Hashing)은 해시(hash)라고도 한다. 해시는 역행할 수 없게 되어있어 비밀번호를 저장하기 위한 좋은 방법이다. 하지만 야후의 공식 성명대로라면 대부분의 비밀번호일 뿐 전부가 비크립트 해시 알고리듬으로 보호되고 있는 것은 아니다. 얼마나 많은 비밀번호가 다른 알고리듬에 해시되어 있는 지를 알 수 없다. 야후의 공식 성명에는 다른 알고리듬을 특정하지 않았다는 것이다. FAQs 페이지를 통해 추정해 보면, 비크립트보다 약한 알고리듬을 적용한 것으로 보이며 야후는 공격자들이 어떤 알고리듬인지 파악하는 걸 원하지 않는다.

또 이용자들은 자신의 계정 비밀번호가 비크립트에 해시됐는지 아닌지에 대해 알아낼 방법이 없다. 그래서 해킹당한 사용자 이메일은 모두 가장 안전한 방법을 고려해야 하며 가능한 한 최대의 피해 대책을 세워야 한다.

 

►자신의 이메일을 유지할 수 있다고 자신하지 마라 

해커들이 이메일 계정을 침투했다면 그들은 해당 이메일과 연동되는 다른 온라인 계정들을 쉽게 파악할 수 있다.

대부분 웹사이트들은 사용자들이 새로운 계정을 등록할 때 환영 메시지를 보내는데, 이를 삭제하는 사용자는 드물다. 이 외에도 다양한 웹사이트에서 이메일 주소와 계정 간 링크가 노출되는데, 따라서 사용자가 등록한 다른 이메일도 노출될 수 있다.  때문에 환영 이메일이나 웹사이트에서 보내온 비밀번호 재설정과 같은 자동 통지 메일들을 받았다면 비밀번호를 바꾸고 자신의 메일함을 깨끗하게 정리해야 한다.

 

►개인 상세 내역을 요구한다면 주의하라! 

해커들이 야후로부터 훔쳐낸 계정 정보에는 실제 이름과 전화번호, 생년월일 등이 포함되어 있다. 경우에 따라서는 암호화되지 않은 보안 질문과 답과 함께 은행 검증에 사용되고 정부 당국에서도 사용할 수 있는 민감한 정보도 있다. 

웹사이트에서 실제 생년월일 기록을 보유하는 것은 매우 드문 사례라서 사이트가 그것을 제공한다면 매우 신중해야 한다. 또한 피할 수 있다면 보안 질문의 실제 답은 제공하지 않는 것이 좋다. 사실 야후는 더 이상 보안 질문을 사용하는 것을 추천하지 않는다. 자신의 계정 보안 설정에 들어가 이를 삭제할 수 있다.

 

►정기적으로 이메일 포워딩 규칙을 점검하라 

이메일 포워딩은 사용자가 설정하고 잊어버리는 기능 가운데 하나다. 사용자들은 이메일 계정 설정에서 이 옵션들을 점검하지 않은 채 어딘가에 묻혀져 있다. 해커들은 이 사실을 알고 있다. 그들은 모든 이메일의 카피본을 받고 재로그인하지 않는다는 설정을 통해 사용자 이메일 계정을 접속권한을 한번만 획득하면 된다. 이 설정은 인식되지 않은 기기와 IP 주소로부터 반복되는 의심스러운 로그인에 대해 사용자에게 보내는 통지 서비스를 방해한다.


►모든 곳에서 이중 인증하라

이중 인증(Two-factor authentication)을 하라. 때로는 이를 2단계 인증(two-step verification)이라고도 한다. 온라인 서비스에서는 계정 보호를 위해 이를 지원한다. 새로운 기기에서 계정에 접속할 때 문자를 통해서나 스마트폰 앱으로 생성되는 1회용 코드를 요청해서 기입해야 하며 동시에 정식 비밀번호를 넣어야 한다. 이는 계정의 안전을 지킬 수 있는 중요한 보안 기능이다. 심지어 해커들이 자신의 비밀번호를 훔쳤을 지라도 이중 인증을 활성화했다면 막을 수 있다. 그리고 야후는 이중 인증을 제공하기 때문에 이를 잘 이용해야 한다.

 

►비밀번호를 재사용하지 마라 

안전한 비밀번호 관리 솔루션들이 많다. 사용자들은  독특하고 복잡한 비밀번호를 가지지 못했다는 것은 이제 변명이 되지 않는다. 사용자들은 기억할 수 있는 비밀번호를 원한다면 단어, 숫자 그리고 특수 기호로 만들어진 문장인 패스프레이즈(passphrases)를 사용하라.


►피싱이 오고 있음을 유념하라

대형 데이터 유출 사고는 일반적으로 이메일 피싱 시도가 뒤따른다. 사이버범죄자들은 이런 유출 사건에 관심이 많은 대중들의 심리를 이용해 피싱 공격을 시도한다. 이런 이메일들은 보안 통지로 가장해 보안 툴을 우회하기 위해 사용자들이 직접 악의적인 프로그램을 다운로드 할 수 있는 웹사이트에 직접 들어가게 유도한다. 이후 사용자 계정을 인증한다는 명목 하에 추가적인 정보를 요구하는 방법을 사용한다.

 

 

 

 

[이 게시물은 관리자님에 의해 2018-10-12 09:40:54 에듀인포에서 이동 됨]

, , ,

태그 관련글 리스트

Comments

Facebook Twitter GooglePlus KakaoStory NaverBand