자동 로그인에 당한 SK쉴더스 "구성원 인식 높이는 방안 추진중"
SK쉴더스의 내부직원 보안자료 누출은 '자동 로그인'의 보안 취약점이 원인이 됐다. 반복적인 계정정보 입력 없이 로그인 할 수 있다는 편리함에 자동 로그인을 많이 등록하고 있는데, 인증 단계를 생략하기 때문에 여러 취약한 부분이 있다는 것이 보안업계 지적이다. 이와 관련, 29일 SK쉴더스 관계자는 "침해사고 이후 자동 로그인을 지양하라는 별도의 문서를 통한 공지는 없었지만, 보안을 강화하는 차원에서 구성원들의 인식을 높이고자 하는 방안을 추진 중"이라고 밝혔다. 앞서 SK쉴더스는 해커 유인시스템(허니팟)을 마련했으나, 랜섬웨어 조직 '블랙 슈란탁'으로부터 해킹 공격을 받았다. 내부 직원 2명의 개인 메일 계정이 자동 로그인 상태로 연결돼 있던 것이 화근이었다. 해커는 해당 메일에 저장된 고객사 정보를 탈취해 다크웹에 게시한 바 있다. 유출된 정보에는 SK텔레콤과 주요 금융기관 15곳, 민간기업 120곳, 일부 공공기관의 정보도 담겨 있는 것으로 파악됐다. 국내 최대 보안 기업으로 꼽히던 SK쉴더스가 직원의 안일한 자동 로그인 설정 탓에 외부 침입을 허용하게 된 것이다. 자동 로그인은 쇼핑몰, 포털 사이트 등 자주 방문하는 웹사이트에 로그인 정보를 저장해놓고 한 번 로그인한 이후에는 반복적인 계정정보 입력 없이 로그인할 수 있는 체계를 말한다. 로그인 정보를 디바이스 내 저장소에 저장해두는 구조이기 때문에 사용자를 인증하는 단계를 생략하고, 반복적으로 계정정보를 입력해야 하는 불편함도 줄일 수 있기 때문에 많은 사람들이 이용하는 기능이기도 하다. 하지만 SK쉴더스의 사례처럼 제3자의 침입이나 브라우저 자체의 보안 취약점으로 인해 공격을 받을 경우 계정정보가 통째로 유출될 가능성이 있어 보안이 취약한 것으로도 알려져 있다. 한국인터넷진흥원(KISA)도 지난 4월 자동 로그인에 대한 취약점에 대해 경고한 바 있다. 사용자의 PC가 사이버 공격자에 노출될 경우, 계정정보가 일시에 유출되는 대규모 피해를 불러올 수 있다는 이유에서다. 보안업계 관계자는 "브라우저 기준 자동 로그인의 원리는 미국 보안기업 라스트패스에서 운영하는 '패스워드 매니저'를 기반으로 한다. ID, 비밀번호 등을 저장해놨다가 다음 번 로그인 때 해당 정보로 로그인하는 것"이라며 "편리함 때문에 많이 사용하지만 외부 공격으로 계정정보 전체가 털릴 수 있는 우려가 있다. 예컨대 100개의 계정 정보를 등록해서 사용하고 있다면 100개 계정정보가 모두 유출되는 셈"이라고 밝혔다. 이재형 옥타코 대표는 "패스워드 매니저에 저장되는 계정정보 문제는 모든 구간에서 암호화가 적용되지 않는다는 점"이라며 "일부 구간이 평문으로 저장돼 있기 때문에 해커들이 암호화가 적용되지 않은 평문 구간을 탈취할 우려가 있고, 이렇게 탈취한 정보를 다크웹이나 불법 해킹 포럼 등을 통해 거래하기도 한다"고 설명했다. 또 이 대표는 "탈취한 계정정보로 다른 웹사이트에도 로그인 시도를 하는 '크리덴셜 스터핑' 공격을 통해 추가적인 피해를 입힐 수 있다"고 경고했다. 예컨대 자동 로그인 설정을 해놓은 웹사이트에서 계정정보가 유출됐는데, SNS, 메일 등 다른 계정도 함께 공격받을 수 있다는 것이다. 기업의 경우는 기업 내부 정보 유출로 이어져 피해는 더욱 커진다. 이 대표는 "제로트러스트 관점에서 패스워드만 확인하는 로그인 체계를 채택하는 것이 아니라, 사용자가 로그인할 때 사용자의 디바이스가 맞는지, 인증서가 맞는지 등 여러 인증 요소를 확인해야 한다"며 "이를 피싱 레지스턴트(피싱 내성) 인증이라고 하는데, 이미 미국에서는 피싱 레지스턴트 인증을 권고 사항으로 두고 있다. 자동 로그인 체계보다는 MFA(다중 인증), 일반 MFA보다는 피싱 레지스턴트 인증이 중요하다"고 강조했다.
