05. 멀티 채널을 통한 크리덴셜 탈취 공격
크리덴셜(Credential)은 현대 디지털 환경에서 가장 중요한 자산 중 하나로, 네트워크와 시스템 접근 권한을 보호하는 데 핵심적인 역할을 한다. 그러나 이러한 크리덴셜이 공격자의 손에 넘어가면 조직의 네트워크와 개인 데이터는 심각한 보안 위협에 노출된다. 실제로, 공격자들은 크리덴셜을 확보함으로써 초기 접근 권한을 얻고 이를 기반으로 랜섬웨어 배포, 데이터 유출, 네트워크 확산 등 다양한 악의적인 활동을 수행한다. 이러한 이유로 크리덴셜 탈취는 사이버 공격의 초기 단계에서 결정적인 역할을 하며, 조직 보안의 가장 취약한 고리로 여겨진다.
특히, 크리덴셜 침해는 데이터 유출을 유발하는 가장 빈번하고 심각한 진입점으로 꼽힌다. [보안위협 그림 5-1]과 같이 공격자들은 로그인 정보, 시스템 접근 권한, 클라우드 계정 등 다양한 형태의 크리덴셜을 주요 공격 수단으로 활용한다. 이를 통해 조직의 민감한 데이터에 접근하거나 네트워크 내부로 침투해 민감 데이터 유출, 랜섬웨어 배포와 같은 심각한 결과를 초래할 수 있다. 이러한 위험을 방지하기 위해서는 크리덴셜 보호가 단순한 선택이 아닌, 반드시 이행해야 할 보안의 기본 요소로 자리 잡아야 한다.
[보안위협 그림 5-1] Initial tactics used in a data breach (출처 : 2024 Data Breach Investigations Report, Verizon)
최근 다크웹에서 크리덴셜 거래가 급증하며 이 문제의 심각성이 더욱 두드러지고 있다. 다크웹에서는 단순한 로그인 정보부터 세션 토큰 등 다양한 형태의 크리덴셜이 거래되고 있다. 이러한 거래의 중심에는 초기 접근 브로커(Initial Access Broker)가 있다. 이들은 기업 네트워크와 클라우드 환경, 개인 계정의 접근 권한을 전문적으로 거래하며, 이를 통해 사이버 범죄 생태계를 확장하고 있다. 이 같은 브로커의 활동은 랜섬웨어 운영자 등과 협력하며 크리덴셜 탈취를 더 조직적이고 정교한 수준으로 끌어올리고 있다.
그뿐만 아니라, 크리덴셜 탈취는 피싱, 악성코드, 취약점 악용 등 다양한 방식으로 이루어진다. 공격자들은 이메일, 소셜 미디어, 모바일 메시징 앱 등 여러 플랫폼을 통해 사용자에게 접근하며, 탐지와 방어를 어렵게 만드는 멀티 채널 공격 방식을 채택하고 있다. 이러한 교묘한 공격 방식은 보안 시스템을 우회할 뿐만 아니라 사용자에게 공격을 알리지 않도록 설계되어 피해를 더욱 심화시키고 있다.
멀티 채널 공격은 [보안위협 표 5-1]과같이 단일 경로를 활용한 전통적인 공격보다 훨씬 정교하고 치명적인 위협을 제기한다. 이는 공격자들이 다양한 채널을 조합하여 복합적인 방식으로 표적을 공격함으로써, 탐지와 방어를 어렵게 만들기 때문이다. 단일 경로 공격은 특정 채널을 통해 목표를 달성하려 하지만, 멀티 채널 공격은 이를 넘어 여러 채널과 공격 벡터를 동시에 또는 연속적으로 활용해 표적 시스템에 침투한다. 멀티 채널 공격의 본질적인 위협은, 공격자가 한 채널에서 실패하더라도 다른 채널로 공격을 이어가 성공 가능성을 극대화할 수 있다는 데 있다. 예를 들어, 이메일 피싱에서 사용자가 링크 클릭을 거부해도, 동일한 악성 링크를 문자 메시지(Smishing)나 소셜 미디어로 전달함으로써 지속적인 공격 시도가 가능하다. 이처럼 다양한 경로를 활용하면 방어 시스템의 사각지대를 노릴 수 있다.
[보안위협 표 5-1] 단일 채널 공격과 멀티 채널 공격 비교
멀티 채널 공격은 기존의 단일 채널 방식보다 훨씬 효과적으로 목표를 달성할 수 있는 전략으로, 공격자가 이를 활용하는 이유는 명확하다. 단순히 공격 성공률을 높이는 데 그치지 않고, 탐지를 회피하고 피해를 확대함으로써 공격의 효과를 극대화하는 데 최적화된 방법이다.
먼저, 멀티 채널 공격은 성공률을 극대화한다. 단일 채널에 의존하는 공격은 특정 방어 체계나 탐지 시스템에 의해 차단될 가능성이 크지만, 멀티 채널 전략은 다양한 경로를 활용해 이를 회피한다. 하나의 채널에서 실패하더라도 다른 채널을 통해 목표를 달성할 가능성을 열어두며, 동시에 여러 채널에서 공격을 진행하면 사용자에게 혼란을 주어 경계심을 무너뜨릴 수도 있다. 예를 들어, 사용자가 피싱 이메일에서 제공된 링크를 클릭하지 않더라도 동일한 메시지가 소셜 미디어를 통해 전달되거나 모바일 앱으로 위장되어 전달되면 공격 성공 가능성이 높아진다.
다음으로, 멀티 채널 공격은 탐지를 어렵게 만든다. 채널마다 서로 다른 공격 기법과 전략이 적용되기 때문에 보안 시스템이 통합적인 패턴을 감지하거나 채널 간 연관성을 분석하는 데 한계가 있다. 예를 들어, 공격자가 이메일 피싱으로 크리덴셜을 수집한 뒤 모바일 앱을 통해 악성코드를 배포하거나 다크웹에서 구매한 추가 데이터를 활용해 내부 시스템에 침투하는 방식은 보안 체계를 무력화시키는 데 효과적이다. 이러한 단계적이고 다각적인 접근은 개별적인 위협처럼 보이게 하여 탐지와 대응을 더욱 어렵게 만든다.
또한, 멀티 채널 공격은 피해를 확장하는 데 효과적이다. 하나의 채널에서 수집한 데이터를 다른 채널로 확장·활용하면서 공격의 범위와 영향력이 급격히 증가한다. 예를 들어, 특정 직원의 크리덴셜을 탈취한 후 이를 활용해 내부 네트워크에 접근하고, 이를 기반으로 다른 직원들의 데이터와 추가적인 시스템 권한을 탈취할 수 있다.
마지막으로, 멀티 채널 공격은 자동화된 도구와 결합해 속도와 효율성을 극대화한다. Credential Stuffing 도구와 같은 자동화된 도구는 여러 플랫폼에서 대규모 계정을 동시에 테스트하고, 탈취된 크리덴셜을 신속히 활용할 수 있도록 지원한다. 자동화된 스크립트를 통해 채널 간 데이터를 연계하여 여러 단계의 공격을 빠르고 효율적으로 전개할 수 있다. 이러한 자동화는 인간의 개입을 최소화하면서도 광범위한 공격을 가능하게 하고, 방어 체계가 탐지하고 대응하기도 전에 목표를 달성할 수 있도록 한다.
이처럼 멀티 채널 공격은 단순히 성공률을 높이기 위한 기술적 접근을 넘어, 조직의 방어 체계를 약화시키고 피해를 극대화하려는 전략적 판단에 기반한다. 이러한 공격은 방어 체계의 허점을 정교하게 공략하며, 조직 내부의 약점을 활용해 지속적인 피해를 유발함으로써 공격자에게 유리한 환경을 조성하는 데 초점이 맞춰져 있다.
멀티 채널을 통한 크리덴셜 탈취는 다양한 경로와 공격 기법을 조합해 정보를 탈취하는 정교하고 체계적인 사이버 공격 전략이다. 이 전략의 핵심은 단일 채널에 의존하지 않고 여러 채널과 기법을 병합해 보안 체계를 우회하며, 이를 통해 크리덴셜 확보의 성공률을 극대화하는 데 있다.
이를 분석하면, 주요 공격 기법은 크게 크리덴셜 수집(Credential Harvesting)과 크리덴셜 재사용(Credential Reuse)의 두 가지 범주로 나눌 수 있다. 각각의 기법은 특정 전술과 기술을 통해 목표 시스템에 침투하고, 이를 활용해 인증 정보를 악용하는 데 초점을 맞춘다.
크리덴셜 수집은 공격자가 다양한 기법과 도구를 통해 사용자 인증 정보를 직접적으로 확보하는 과정을 의미한다. 이 과정에서 주로 사용되는 기술로는 피싱(Phishing), 악성 소프트웨어(Malware), 웹 애플리케이션/시스템 취약점(Exploiting Vulnerabilities) 등이 있으며, 이러한 기법들은 심리적 취약점과 보안상의 허점을 정교하게 악용하는 방식으로 실행된다.
피싱은 크리덴셜 탈취에서 가장 흔히 사용되며 효과적인 기법의 하나로, 공격자는 신뢰할 수 있는 조직, 서비스 또는 개인을 사칭하여 사용자의 심리적 취약점을 노리고, 민감한 정보를 입력하거나 악성 링크를 클릭하도록 유도한다. 멀티 채널 피싱은 [보안위협 표 5-2]와 같이 공격자가 이메일 외에도 다양한 채널을 활용하여 목표 대상을 속이고 크리덴셜을 탈취하는 정교한 피싱 기법이다. 이는 이메일 피싱에 의존하지 않고, 사용자가 자주 사용하는 협업 도구, 메시징 플랫폼, 소셜 미디어, 그리고 비즈니스 서비스를 포함한 여러 채널을 공격 경로로 활용한다. 이러한 방식은 사용자의 경계심을 낮추고 공격 성공률을 높이는 데 효과적이다.
[보안위협 표 5-2] 멀티 채널 피싱의 주요 특징
Remote Access Trojan(RAT)과 Infostealer는 크리덴셜 탈취와 데이터 유출을 목적으로 설계된 고도화된 악성코드로, 각각 특화된 기능과 목적을 통해 조직의 보안을 심각하게 위협한다.
RAT은 피해자의 기기를 원격으로 제어하도록 설계된 악성코드로, 감염된 시스템에 은밀히 침투하여 탐지가 어렵게 동작한다. 이 악성코드는 계정 정보, 세션 토큰, 비밀번호 등 주요 데이터를 수집하는 데 사용된다. 또한, 키 입력 기록(Keylogging), 화면 캡처, 파일 접근 및 전송 등의 실시간 모니터링 기능을 제공하여 추가적인 크리덴셜 확보와 데이터 유출을 용이하게 한다. RAT은 단순한 악성코드를 넘어 사용자의 디바이스와 네트워크를 완전히 장악할 수 있는 수단을 제공하며, 고도화된 제어 기능을 통해 조직 내 민감한 데이터를 손쉽게 탈취할 수 있다.
Infostealer는 주로 디바이스에 저장된 정적 데이터를 추출하는 데 초점을 맞춘 악성코드로, 웹 브라우저, 이메일 클라이언트, FTP 프로그램 등에 저장된 크리덴셜과 세션 데이터를 탈취한다. 특히 암호화된 데이터의 해독 기능을 통해 저장된 정보를 은밀히 수집하며, 정적 데이터 유출에 특화된 점에서 독립적으로도 강력한 위협을 제기한다.
이 두 악성코드는 종종 결합하여 사용되며, Infostealer가 초기 단계에서 저장된 정보를 탈취하고, 이를 기반으로 RAT가 추가 침투 및 네트워크 장악을 수행하는 방식으로, 협력적으로 작동한다. 이러한 조합은 탐지와 대응을 더욱 어렵게 만들어 조직 전반의 보안을 심각하게 위협한다.
[보안위협 그림 5-2] RAT, Inforstealer 악성코드 주요 유포 방식 및 크리덴셜 탈취 시나리오
시스템, 애플리케이션, 및 네트워크의 보안 취약점을 악용한 크리덴셜 탈취는 고도화된 기술과 정교한 전략이 결합한 매우 효과적인 공격 기법으로 평가된다. 이러한 공격은 미패치된 소프트웨어, 잘못된 설정, 알려진 취약점, 또는 제로데이(0-Day) 취약점과 같은 보안상의 허점을 직접적으로 공략하며, 이를 통해 크리덴셜 데이터베이스, 세션 토큰, API 키 등 민감한 인증 정보를 수집한다.
이 공격 기법의 효과는 크리덴셜이 저장되거나 처리되는 시스템의 핵심 지점을 표적으로 삼는 데 있다. 예를 들어, 취약한 웹 애플리케이션을 대상으로 한 SQL Injection 공격은 데이터베이스에 저장된 사용자 계정 정보와 비밀번호 해시를 추출할 수 있다. 또한, 네트워크 계층에서 보안 프로토콜이 제대로 구현되지 않은 환경에서는 패킷 스니핑(Packet Sniffing)을 통해 인증 토큰 및 크리덴셜 데이터를 탈취하는 것이 가능하다.
이와 같은 공격은 단순한 보안 결함을 활용하는 데 그치지 않고, 크리덴셜이 전달, 저장, 처리되는 전 과정을 정밀하게 분석하여 가장 취약한 지점을 공략하는 방식으로 이루어진다. 결과적으로, 이러한 기법은 크리덴셜 탈취뿐 아니라 조직 전체의 보안 체계에 치명적인 영향을 미칠 수 있다.
[보안위협 5-3] 취약점 기반 크리덴셜 탈취 시나리오
크리덴셜 재사용은 기존에 탈취된 크리덴셜을 다크웹, 해커 포럼, 또는 유출된 데이터베이스에서 확보하여 다양한 시스템과 플랫폼에서 악용하여 불법적인 접근을 시도하는 기법으로, 조직과 개인의 보안을 심각하게 위협하는 사이버 공격 방식 중 하나이다. 이 공격은 주로 사용자들이 여러 플랫폼에서 동일한 크리덴셜을 재사용하는 습관을 악용하며, 정교한 자동화 도구와 함께 실행되어 그 위협을 더욱 증대시킨다.
공격자는 먼저 탈취된 크리덴셜을 다크웹에서 구매하거나 유출된 데이터베이스를 통해 확보한다. 확보된 크리덴셜은 크리덴셜 스터핑(Credential Stuffing) 도구를 사용해 다수의 플랫폼에서 자동화된 방식으로 입력되며, 이를 통해 인증 시도가 이루어진다. 성공적으로 시스템에 접근한 경우, 공격자는 민감한 데이터를 수집하거나 권한 상승을 시도하며, 추가적인 네트워크 침투를 이어간다.
[보안위협 그림5-4] 크리덴셜스터핑 공격 시나리오
이 과정에서 중요한 역할을 하는 것이 초기 접근 브로커(IAB, Initial Access Broker)이다. 브로커는 피싱, 악성코드 등 크리덴셜 수집 활동을 통해 확보한 초기 접근 권한을 다크웹 마켓플레이스나 포럼에서 판매하는 중개자로, 브로커가 제공하는 데이터는 크리덴셜, 세션 토큰, API 키 등을 포함하며, 구매자는 이를 이용해 네트워크에 침투하거나 시스템을 장악한다. 이러한 생태계는 공격자와 구매자 간의 협력을 체계화하며, 크리덴셜 재사용 공격을 비롯한 다양한 사이버 범죄 활성화를 이끄는 핵심 요소로 작용한다.
IAB는 직접 공격을 수행하기보다는, 침투한 시스템에 대한 접근 권한을 랜섬웨어 그룹이나 기타 악의적인 행위자들에게 판매하여 수익을 창출한다. 최근 다크웹에서 IAB의 활동이 증가하고 있으며, 이러한 IAB 의 활동 증가는 랜섬웨어 공격 효율성을 높이고, 사이버 범죄 생태계에서 중요한 역할을 하고 있다.
크리덴셜 탈취는 디지털 생태계의 신뢰를 무너뜨리며 소비자, 기업, 정부 기관 모두에게 광범위한 영향을 미친다. 탈취된 자격 증명은 신원 도용과 금융 사기 같은 개인적 피해로 이어질 뿐 아니라, 기업 및 공공 서비스의 데이터 무결성을 훼손하여 대규모 혼란을 초래할 수 있다. 소비자의 개인정보 유출은 단순히 개인적 불안감을 초래하는 수준을 넘어, 피해 복구를 위한 시간적·재정적 비용을 증가시키고 디지털 플랫폼에 대한 신뢰를 약화시킨다. 이는 디지털 경제 의존도가 높은 현대 사회에서 기술 혁신의 저해 요인으로 작용할 가능성이 크다.
기업 관점에서도 크리덴셜 탈취는 심각한 보안 침해와 함께 고객 데이터 보호 의무 불이행에 따른 법적·재정적 책임을 초래한다. 규제 위반에 따른 벌금, 소비자 손해배상, 기업 평판 악화 등으로 이어져 지속 가능 경영에 큰 위협이 될 수 있다. 더 나아가, 탈취된 크리덴셜이 다크웹 등에서 재판매되면서 사이버 범죄 생태계를 확장하고, 궁극적으로 사회 전반에 디지털 불안정을 확산시키는 악순환을 형성한다.
결국, 크리덴셜 탈취와 같은 사이버 위협은 단순히 개별 기업의 문제가 아닌, 디지털 생태계 전체의 안정성과 신뢰를 저해하는 심각한 도전 과제이다. 이를 극복하기 위해 기업, 정부, 개인이 함께 협력하고, 지속적으로 변화하는 위협에 대응할 수 있는 탄탄한 보안 체계를 구축해야 한다.
