보안 전문가들이 입을 모아 비밀번호 관리자와 인터넷 브라우저에 저장된 로그인 데이터 등의 자격 증명 저장소를 노리는 멀웨어가 3배 증가할 것이라고 경고했다.

100만 개의 실제 멀웨어 샘플을 분석한 피커스 시큐리티(Picus Security)의 연구에 따르면, 전체 악성 행동의 93%가 단 10개의 MITRE ATT&CK 기법에 해당한다고 한다.

비밀번호 저장소의 보안 상충 관계

비밀번호 저장소는 사용자 이름, 비밀번호, 암호화 키, 기타 자격 증명 등 민감한 인증 데이터를 관리하고 안전하게 보관하는 저장소를 말한다. 저장소는 사용례와 운영체제에 맞게 다양한 형태로 제공된다.

키체인(맥OS와 iOS용), 크롬이나 파이어폭스 같은 브라우저에 내장된 비밀번호 관리자, 윈도우 자격 증명 관리자, 그리고 라스트패스, 1패스워드, 비트워드 같은 전용 비밀번호 관리자 같은 서비스가 모두 비밀번호 저장소에 포함된다. AWS 시크릿 매니저나 애저 키 볼트 같은 클라우드 시크릿 관리 저장소와 서드파티 소프트웨어의 캐시와 메모리도 일종의 비밀번호 저장소다.

암호 저장소는 암호화된 저장소와 편리하게 접근할 수 있는 자격 증명을 제공해 보안을 강화하고, 암호 재사용의 위험을 줄이며, 여러 개의 복잡한 암호 관리를 단순화한다. 안타깝게도, 중앙 집중적인 특성 때문에 다양한 멀웨어를 통해 공격하는 사이버 범죄자에게 매력적인 표적이 되기도 한다.

서비스형 멀웨어 정보 도용은 누가

예를 들어, 레드라인 스틸러(RedLine Stealer) 같은 악성코드는 웹 브라우저와 다른 애플리케이션에 저장된 자격 증명 등의 민감한 정보를 표적으로 특별히 설계되었다. 피싱 이메일이나 악성 다운로드 프로그램이 숨겨져 있는 함정 웹사이트 방문을 유도하는 방법으로 배포되는 경우가 많다.

룸마 스틸러(Lumma Stealer)는 서비스형 멀웨어(Malware-as-a-Service) 형태로, 범죄자들이 악용해 암호화폐 지갑, 로그인 정보, 기타 민감한 정보를 해킹한 시스템에 저장한다.

2022년에도 정보 탈취 멀웨어 사용의 상당한 증가가 보고되었다. 그러나 피커스 시큐리티 공동 설립자 슐레이만 오자슬란 박사는 CSO와의 인터뷰에서 최근 비밀번호 저장소를 노린 멀웨어가 3배나 증가한 것은 공격의 초점과 전술에 큰 변화가 있음을 의미한다고 말했다.

최신 운영체제는 LSASS(Local Security Authority Subsystem Service) 메모리와 시큐리티어카운트 매니저(Security Account Manager) 같은 전통적 자격 증명 덤핑 기법에 대한 강력한 방어 기능을 구현한다. 사이버 범죄자도 따라서 전술을 바꾸게 된 것이다.

오자슬란은 “운영체제가 전통적인 자격 증명 덤핑 기법에 대한 강력한 방어 기능을 구현함에 따라 공격자들은 암호 저장소와 같이 보호 수준이 낮은 대상에 집중하는 전술을 채택하고 있다”라고 말했다.

암호 저장소 공격은 일반적으로 특수 권한이 많이 필요하지 않다. 멀웨어는 데이터를 긁어내거나 내보내기 위해 사용자 수준의 액세스 권한만 있으면 된다.

암호 관리자를 포함한 여러 계정에서 암호를 재사용하면 공격자가 한 번의 침해로 도난당한 자격 증명을 활용해 소위 자격 증명 스터핑 공격을 통해 다른 서비스에 액세스할 수 있다.

사이버 범죄의 주요 표적, 자격 증명 도난

암호 저장소에서 도난당한 자격 증명에는 도메인 로그인뿐만 아니라 금융, 관리 및 전략적 클라우드 서비스에 대한 자격 증명이 포함되는 경우가 많다.

위협 인텔리전스 업체 릴리아퀘스트(ReliaQuest)의 선임 사이버 위협 인텔리전스 애널리스트 크리스 모건은 자격 증명 도용이 위협 행위자가 가장 많이 사용하는 방법이라고 말했다. 효과가 있기 때문이다.

모건은 “대부분의 분야에서 보안 취약성이 만연해 악용의 여지가 넓게 열려 있다”라고 말했다.

릴리아퀘스트의 조사에 따르면, 2024년 다크 웹에 게시된 정보 도용 로그(수집된 인증 정보 쌍 포함)가 2023년에 비해 50% 이상 증가했다. 같은 기간 동안 사이버 범죄 플랫폼의 초기 액세스 목록이 142% 급증했다.

인증 정보의 급증으로 초기 액세스 브로커(IAB)는 특정 권한이 필요한 시스템에 빠르고 쉽게 액세스할 수 있게 되었다.

릴리아퀘스트가 분석한 2024년 사건 중 50%는 초기 액세스에 유효하거나 노출된 자격 증명을 사용했다.

모건은 그 결과가 엄청나다며 “2024년 고객 랜섬웨어 사건의 66%가 IAB에서 구입한 것으로 추정되는 초기 액세스로 인해 발생했으며, 도난당한 자격 증명이 랜섬웨어 공격의 길을 열어준다는 것을 알 수 있다”라고 모건은 말했다. “이 모든 사건이 자격 증명 스토어 공격과 관련이 있는 것은 아니지만, 이러한 결과는 사이버 범죄를 촉진하는 데 있어 정보 도용 멀웨어의 역할이 커지고 있음을 보여 주며, 대규모 공격의 핵심 요소로서의 위치를 확고히 하고 있다.”

보안 소프트웨어 업체 핑 아이덴티티(Ping Identity)의 수석 이사 맷 버진스키는 CSO와의 인터뷰에서 자격 증명 저장소 공격이 급증하는 이유로 막대한 이익을 꼽았다.

버진스키는 “위협 행위자에게 비밀번호 관리자를 겨냥한 공격은 마치 복권에 당첨되는 것과 같다”라고 표현했다. 피커스 시큐리티의 조사 결과는 더 광범위한 추세를 반영한다. 공격자가 브라우저에 저장된 로그인과 다크 웹에서 도난당한 인증 정보를 노리는 경향이 늘어나며, 여러 사이트에서 같은 비밀번호를 재사용해 접근하기도 한다.

저진스키는 “일단 인증 정보 저장소에 접근하면, 더 많은 정보를 얻기 위해 측면으로 이동할 수 있다. 해커의 놀이터와 마찬가지”라고 덧붙였다.

공격 자동화로 대규모 해킹 가능

사이버 범죄자들이 대규모로 인증 정보를 추출하고 악용할 수 있는 도구가 널리 보급된 것도 인증 정보 공격 증가의 한 요인이다. 버진스키는 “많은 기업이 MFA 도입과 사용자 불편에 대한 우려 때문에 보안 위험을 알고 있으면서도 여전히 비밀번호를 주요 방어 수단으로 사용하고 있다”라고 지적했다.

안티 멀웨어 업체 트렌드마이크로(Trend Micro)의 수석 위협 연구원 데이비드 산초는 CSO와의 인터뷰에서 자격 증명 저장소를 노리는 멀웨어가 증가하고 있다는 사실이 놀랍지 않다고 말했다.

산초는 “자격 증명 저장소를 노리는 멀웨어가 증가하는 것은 분명하지만, 이는 누구에게나 놀라운 일이 아니다”라고 말했다. 자격 증명 저장소는 자격 증명이 있는 곳을 의미하고 주로 그 장소는 브라우저다. 브라우저가 사용자/비밀번호 쌍을 ‘기억’할 때마다, 그 정보는 어딘가에 저장된다. 이러한 위치는 확실히 정보 도용자의 주요 표적이다.

암호 관리 업체 키퍼 시큐리티(Keeper Security) CEO 대런 구치오니는 사이버 범죄자가 인증 정보 저장소를 표적으로 삼고 있다는 사실을 인정하면서도, 다른 애플리케이션보다 더 잘 보호되는 애플리케이션이 있다고 주장했다.

구치오니는 “모든 비밀번호 관리자가 똑같이 만들어지는 것은 아니며, 사이버 범죄자가 인증서 저장소를 포함한 광범위한 사이버보안 솔루션을 표적으로 삼는 경우가 늘어나면서 이러한 구분이 더 중요해졌다”라고 말했다. 구치오니에 따르면 일부 비밀번호 관리자는 제로 트러스트 아키텍처와 공급업체조차 액세스할 수 없는 암호화를 통해 완벽한 보호 기능을 제공하는 반면, 민감한 데이터를 멀웨어와 공격에 더 취약하게 보관하는 업체도 있다.

베스트 프랙티스에 대한 조언

기업 보안 관리자는 제로 지식 암호화를 제공하고 저장된 자격 증명에 최종 사용자만 액세스할 수 있도록 하는 안전한 암호 관리자 기술을 배포해야 한다. 사용자는 데이터의 암호화 및 복호화가 항상 완전한 종단 간 암호화 기능을 갖춘 제품을 찾아야 한다.

또한 기업은 최소 권한 액세스를 시행하고 실시간으로 권한 계정을 모니터링하기 위해 권한 액세스 관리(PAM)를 구현해야 한다.

구치오니는 “가장 안전한 비밀번호 관리자를 사용한다고 해도 사용자는 적절한 보호를 위해 부지런히 노력해야 한다. 강력하고 고유한 마스터 비밀번호와 멀티팩터 인증이 필수적”이라고 강조했다. 기기 인증 같은 기능도 패스워드 스터핑 공격을 더욱 효과적으로 방지한다.
dl-itworldkorea@foundryco.com