암호화폐 투자자 A 씨는 최근 이용하고 있는 거래소에서 메일을 받았다. 크리덴셜 스터핑으로 의심되는 접근이 있어 암호화폐 출금을 정지한다는 내용이었다. A 씨도 모르는 새 어디선가 개인정보가 유출된 것이다.

온라인 활동 증가하자 크리덴셜 스터핑도 기승…피해 범위 넓어졌다

코로나19로 온라인 활동이 어느 때보다 활발한 올해, 사이버 범죄가 더욱 기승을 부리고 있다. 암호화폐 업계도 예외는 아니다. 특히 개인정보를 이용해 자금을 탈취하는 '크리덴셜 스터핑' 사례가 증가했다.

크리덴셜 스터핑이란 이미 유출된 개인정보를 여러 웹사이트에 무작위로 대입해 로그인하는 해킹 방식이다. 올해 6월 발생한 토스 부정 결제 사건도 크리덴셜 스터핑에 의한 것으로 추정되고 있다.

크리덴셜 스터핑은 이전에도 존재했다. 최근 수법이 고도화됐고, 피해도 커지고 있다. 금전적 이득을 얻을 수 있는 분야로 타깃이 확장했다. 한준형 아카마이 코리아 상무는 "최근에는 여러 사람을 통한 개인정보 조합, 스크립트를 활용한 자동화, 봇을 이용한 해킹까지 크리덴셜 스터핑 수법이 다양해졌다"라고 말했다.

한 상무는 "거의 매년 크리덴셜 스터핑 피해가 보고되고 있지만, 코로나 팬데믹 상황에서 그 숫자가 더욱 증가했다"며 "금융 분야에서만 성행하던 시도들이 게임, 미디어까지 확대되고 있다"고 말했다.

개인 계정 침입 시도하는 해커…암호화폐 거래소 "사전에 포착해 피해 최소화"

암호화폐 거래소역시 대상이 됐다. 거래소 서버가 아닌 개인 계정을 해킹해 해당 계정이 보유한 암호화폐를 출금해 가는 수법이다. 해커들은 피싱 사이트를 만들고 구글에 '광고'하는 방법을 쓴다. 광고 사이트의 경우 특정 키워드 검색 시 최상단에 노출된다. 공식 사이트인 것처럼 보이게 하려는 의도다.

이용자가 피싱 사이트에 접속해 로그인을 할 경우, 이 정보는 그대로 해커에게 노출된다. 해커는 이렇게 빼낸 개인정보로 암호화폐 거래소를 포함한 여러 웹사이트에 로그인을 시도하고, 자금을 빼간다.

코인원 관계자는 "구글에 피싱 사이트를 만들고, 고객들에게 로그인 유도를 한 사례가 많았다"며 "결국 한국인터넷진흥원(KISA)과 협력해 대응하면서 피싱 사이트를 막았다"고 말했다. 그는 "최근에는 페이스북 등 SNS에 가짜 계정을 만들어 '이벤트에 당첨됐다'고 이용자를 속이는 추세"라며 "계속해서 이용자에게 주의를 당부하고 있다"고 덧붙였다.

코인원의 경우 사용자 계정에 의심 접근 및 거래가 발견되면 출금을 정지한다. 이후 사용자에게 차단 이유를 알리고, 다시 한번 개인정보 확인을 요청한다. 실시간으로 모니터링해 이용자 피해를 최소화하겠다는 입장이다.

타 거래소도 마찬가지다. 빗썸 관계자는 "크리덴셜 스터핑을 포함한 외부 침입 시도는 수시로 발생한다"며 "데이터를 바탕으로 방어체계를 구축하고, 이상거래를 차단하도록 힘쓰고 있다"고 말했다. 이어 "이상거래가 확인되면 개인계정을 차단하는 등 프로세스에 맞춰 피해 최소화를 위해 노력 중"이라고 덧붙였다.

개인은 사이트마다 비밀번호 다르게 설정해야…기업은 봇해킹 대비 필요

보안 전문가들은 크리덴셜 스터핑 피해 최소화를 위해 각 사이트마다 비밀번호를 다르게 설정해야 한다고 강조한다. 아카마이 관계자는 개인 사용자는 △비밀번호 재사용의 위험성 인지 △미사용 계정 삭제 △다중 인증 적용(MFA) △비밀번호 공유 금지 △주기적인 비밀번호 변경 △계정과 카드 연동 시 신용카드가 아닌 체크카드 등록 등의 수칙을 지켜야 한다고 당부했다.

기업의 경우 △봇 트래픽 가시성을 확보 후 리스크 파악 및 솔루션 모색 △불필요한 요청을 줄여 원본 부하 해소 △제로 트러스트(Zero Trust) 기반으로 직원 접속 범위·권한 관리 △CIAM(Customer Identity & Access Management)을 활용한 고객 ID 접속 제어 관리 △위협 인텔리전스 기반봇 트렌드 선제 대응 △사용자 UX에 영향을 주지 않는 보안 적용 등이 필요하다고 조언했다.

/노윤주 기자 daisyroh@

노윤주 기자

daisyroh@decenter.kr