블로그

데이터 프라이버시는 자격 증명 채우기로부터 보호가 필요합니다.

짐 다우니 썸네일
짐 다우니
2022년 7월 6일 게시

2022년 6월 27일, 130개 이상의 데이터 보호 및 개인정보 보호 규제 기관과 시행 기관으로 구성된 협회인 글로벌 개인정보 보호 총회(GPA) 는 신임장 정보 스터핑이 전 세계적으로 개인 데이터에 위험을 초래하며, 데이터 보호법에 따라 조직이 이에 대해 보호해야 한다고 주장하는 최초의 정부 간 지침을 발표했습니다.

F5는 가이드라인 제작에 참여하게 되어 자랑스럽게 생각하며 GPA의 인정에 감사드립니다. F5는 오랫동안 신임장 정보 유출의 위협을 인식해 왔습니다. 크리덴셜 스터핑(credential stuffing)이라는 용어는 펜타곤에서 국방부 부차관보로 재직 중이던 F5의 수밋 아가왈(Sumit Agarwal)이 처음 사용했으며 , 이를 계기로 2011년에 최고의 봇 관리 공급업체인 Shape Security(현 F5의 일부)가 설립되었습니다. 오늘날 F5는 세계 최대 규모의 은행, 전자 상거래 소매업체, 항공사, 호텔 서비스 제공업체, 소셜 미디어 회사를 신임장 정보 유출 및 관련 위협으로부터 보호하고 있습니다.

GPA의 상설 실무 그룹인 국제 시행 협력 실무 그룹(IEWG)이 발행한 새로운 지침에서는 크리덴셜 스터핑이 수행되는 방식을 문서화하고, 공격자 경제가 크리덴셜 스터핑을 널리 퍼뜨리는 이유를 설명하고, 크리덴셜 스터핑이 전 세계적인 문제인 이유와 이를 데이터 개인 정보 보호법에 통합해야 할 필요성을 강조하며, 크리덴셜 스터핑을 완화하기 위한 여러 가지 방법을 설명합니다.

GPA 가이드라인은 정부 기관의 최근 경고를 바탕으로 만들어졌습니다. 2022년 1월 5일, 뉴욕주 법무장관실은 신임장 정보 유출의 급증과 기업이 예방 조치를 취해야 할 필요성에 대한 기업 가이드를 발표했습니다. 2020년 9월 15일, 증권거래위원회는 SEC 등록 투자 자문사와 브로커 및 딜러를 대상으로 한 신임장 정보 유출 사례가 급증함에 따라 위험 경고를 발표했습니다. 2020년 9월 10일, 미국 연방수사국은 미국의 금융 기관을 표적으로 한 신임장 정보 유출 공격이 잇따르고 있으며, 이로 인해 5만 개 이상의 계좌가 피해를 입었고 기업들은 신고 및 복구 비용으로만 연간 평균 600만 달러의 손실을 입었다며 경고하는 민간 산업 알림을 발표했습니다. 이러한 사건은 최고 개인정보보호책임자(CPO)에게 지속적으로 영향을 미치고 있으며, 최근 CPO 기사 에서는 제너럴 모터스를 대상으로 한 대규모 신임장 확보 공격 사건을 기록했습니다.

크리덴셜 스터핑은 범죄자가 계정을 탈취하기 위해 웹사이트에서 훔친 신원 정보를 테스트하는 사이버범죄입니다. 범죄자들은 봇이라고 불리는 자동화된 도구를 사용하여 대규모로 이러한 공격을 수행합니다. 이는 투자수익률(ROI)이 높은 매우 효과적인 사이버범죄입니다. 그 이유는 다음과 같습니다. 1) 도난당한 자격 증명을 쉽게 구할 수 있다는 점, 2) 무려 60%의 사람들이 여러 계정에서 비밀번호를 재사용한다는 점( FBI 조사 ), 3) 많은 조직이 CAPTCHA 및 IP 거부 목록과 같은 비효율적인 완화 방법에 의존한다는 점입니다.

도난당한 자격 증명의 수는 엄청납니다. F5 Labs 2021 Credential Stuffing Report 에 따르면 2020년 한 해에만 18억 6천만 개의 자격 증명이 도난당했습니다. GPA 가이드라인에서는 2013년 야후 침해 사건과 같은 대규모 침해로 인해 수십억 개의 인증 정보가 노출되었다고 지적합니다. 공격자는 침해 사실이 공개적으로 보고되기 전까지 수년 동안 이러한 도난된 자격 증명을 악용할 수 있습니다.

"...민간 부문 연구에 따르면 2017년 11월부터 2019년 3월까지 게임 산업에서 550억 건의 신임장 정보 유출 공격이 발생했으며, 이는 월 30억 건 이상의 공격, 일 1억 700만 건 이상의 공격에 해당합니다. 추가 연구에 따르면 2020년 전 세계적으로 신임장 정보 유출 공격이 1,930억 건 발생했으며, 이는 월간 16조 건 이상, 일일 5억 건 이상의 공격에 해당합니다.

GPA 가이드라인은 이러한 개인정보 침해의 피해자가 금전적 손실을 넘어, 침해된 계정을 사용하는 동안 개인에 대한 허위 진술이나 허위 정보 유포로 인한 평판 훼손을 포함한 피해를 입을 수 있다고 지적합니다. 이런 개인정보 침해가 어떻게 사람들의 삶을 파괴할 수 있는지 쉽게 상상할 수 있습니다.

가장 중요한 점은 가이드라인에서 조직이 데이터 프라이버시 법률에서 요구하는 "적절한" 보안 조치 중 하나로 자격 증명 채우기에 대한 보호를 고려해야 한다고 결론 내리고 EU의 GDPR과 미국 연방거래위원회의 보호 규정의 특정 조항을 인용한다는 것입니다.

"신임장 정보 스터핑 공격(특히 온라인으로 액세스할 수 있는 사용자 계정이 있는 조직)으로 인한 개인 데이터에 대한 명백한 위협과 그로 인해 발생할 수 있는 무단 처리/액세스를 감안할 때, 데이터 보호 및 개인 정보 보호법에 따라 적어도 암묵적으로는 신임장 정보 스터핑 공격으로부터 개인 데이터를 보호하기 위한 조치를 구현하는 것이 일반적으로 요구됩니다."

GPA 가이드라인은 조직이 자격 증명 채우기를 방지하기 위해 여러 가지 완화 방법을 고려할 것을 권장합니다.

  • 자격 증명 사용을 없애는 게스트 체크아웃
  • 재사용 위험을 최소화하기 위한 강력한 암호 정책
  • SSO(Single Sign-On)와 같은 비밀번호 대안
  • 다중 인증(MFA)
  • 2차 비밀번호 및 PIN
  • 장치 지문 인식
  • 예측할 수 없는 사용자 이름
  • 유출된 비밀번호 식별
  • 속도 제한
  • 로그인 페이지 및 프로세스(다단계 로그인)
  • 계정 모니터링/탐지
  • 익명성 네트워크(예: TOR)에 대한 추가 검사
  • CAPTCHAs
  • WAFs
  • IP 차단 목록 및 허용 목록
  • 사고 대응 계획 및 사용자 알림

이는 확실히 신임장 정보 채우기 공격을 완화하는 데 도움이 되는 유효한 기술입니다. 조직에 가장 적합한 접근 방식이 무엇인지 평가할 때, 이 분야에서 수년간 혁신을 거듭해 온 F5는 사용자 경험에 마찰을 더하지 않고도 실시간으로 봇을 효과적으로 완화하는 기술을 고려하고, 애플리케이션을 재설계할 필요가 없도록 권장합니다.

2차 비밀번호와 PIN, 예측 불가능한 사용자 이름, 여러 단계로 구성된 로그인 페이지는 보안을 강화하는 반면, 사용자 마찰이 증가하는 단점이 있습니다. 고객 전환율을 높이고 장바구니 포기율을 낮추고 싶은 기업이라면 고객과 구매 사이에 장애물을 두지 않도록 주의해야 합니다. 게스트 체크아웃도 도움이 될 수 있지만, 이를 통해 기업은 개인화되고 타겟화된 경험을 제공할 수 없습니다. MFA는 효과적이기는 하지만 사용자 경험을 방해하며 범죄자들의 표적이 되기도 했습니다 .

CAPTCHA 역시 마찰을 더하고 많은 사람들이 생각하는 것보다 덜 효과적인 방어 수단을 제공합니다. 머신 러닝과 클릭 팜을 활용하는 CAPTCHA 해결 서비스를 이용하면 봇이 저렴하게 CAPTCHA를 우회할 수 있습니다. ( Tales of a Human CAPTCHA Solver 에서 Dan Woods의 모험에 대해 읽어보세요.)

F5와 협력한 조직에서는 IP 차단 목록과 정적 WAF 규칙을 유지 관리하는 것이 너무 어렵다는 것을 알게 되었습니다. 프록시 서비스를 이용하면 봇이 수백만 개의 유효한 주거용 IP 주소를 활용할 수 있습니다. 봇은 차단될 때마다 몇 시간 내에 재정비됩니다. 이런 접근 방식으로 인해 보안팀은 망할 망치질 게임에 휘말리게 됩니다.

마찬가지로 계정 모니터링/감지, 사고 대응 계획, 사용자 알림은 모두 중요하며 봇 관리 프로그램의 일부가 되어야 하지만, 이러한 보호 기능은 사후에 적용됩니다. 다행히, 범죄자들이 계정을 인수하는 것을 사전에 방지할 수 있는 기술이 있습니다.

F5는 신임장 정보 입력으로 인한 사기적 남용으로부터 자신과 고객을 보호하고자 하는 조직 과 협력하며, 오늘날의 경쟁적인 시장에서 고객을 만족시키고 승리하는 데 도움이 되는 뛰어난 디지털 경험을 제공합니다. F5는 사용자에게 불편함을 주지 않으면서도 가장 효과적인 봇 차단 기술을 사용하여 보호함으로써 고객의 충성도를 얻었습니다 . 이 기술은 장치 환경과 봇의 행동 특성을 다루는 JavaScript와 모바일 네이티브 신호에 대한 수년간의 연구 개발을 바탕으로 구축되었습니다. F5 Distributed Cloud Bot Defense에는 이러한 신호를 기반으로 하는 실시간 탐지 기능 외에도 봇 재편을 신속하게 탐지하고 대응하는 머신 러닝 분석 서비스가 포함되어 있습니다. 장기적인 효과를 보장하기 위해 신호 수집 코드는 리버스 엔지니어링 및 신호 변조를 방지하는 고급 난독화 기술을 거칩니다.

F5는 사이버 보안을 개인적인 차원으로 만드는 것을 중요하게 생각하며, 조직을 사기하고 개인에게 엄청난 피해를 입히는 신임장 정보 유출 공격은 바로 F5가 해결하고자 하는 문제의 유형을 나타냅니다. F5의 글로벌 인텔리전스 책임자인 댄 우즈가 Fast Company 에서 지적했듯이, 이러한 공격은 이전에는 별로 주목받지 못했습니다. 다행히도 GPA와 여러 개인정보 보호 기관은 개인 정보 보호 위험을 표면화하고 있습니다.

"콜로니얼 공격은 사이버 보안을 둘러싼 대중의 인식과 미디어 보도 사이에 분명한 단절이 있음을 보여주었습니다. 수백만 명의 사람들에게 약간의 고통을 안겨주었다: 국제 뉴스 헤드라인. 수천 가구의 평생 저축을 여러 가지 계획으로 훔쳐 엄청난 손실을 입혔습니다.

삶의 많은 부분이 온라인으로 저장되는 디지털 시대에 우리는 조직이 데이터 개인 정보 보호에 최대한 진지하게 접근하기를 바랍니다. 이는 전 세계 정부가 제정한 점점 더 엄격해지는 개인 정보 보호법이 이를 잘 보여줍니다. GDPR과 같은 데이터 개인정보 보호법은 기업이 개인정보를 보호하기 위해 모든 적절한 조치를 취할 것을 요구합니다. 이제 우리가 신임장 정보 스터핑에 대해 알고 있는 사실 때문에 이 GPA 가이드라인은 신임장 정보 스터핑 보호가 모든 조직의 적절한 조치의 일부가 되어야 한다는 점을 명확히 합니다.

봇 보호의 ROI에 대한 자세한 내용은 Forrester Total Economic Impact Report를 참조하세요. 자세한 내용을 알아보고 f5.com/bot-defense 에서 F5 봇 전문가와 상담 일정을 잡으세요.