개인정보보호, 소프트웨어 정책
우리은행이 무작위 대입 공격(Brute Force Attack)을 받아 고객정보 약 5만 6,000건이 유출됐다. 우리은행은 해킹으로 인한 고객정보 유출이 아닌, 기존 타 사이트 해킹 등으로 이미 유출된 개인정보를 바탕으로 약 85만 건의 무작위 대입 공격을 펼쳐 이중 5만 6,000건이 성공했다고 밝혔다.
우리은행은 6월 23일 고객들의 민원을 받아 접속이력을 확인한 후, 무작위 대입 공격을 확인했으며, 해당 IP를 차단하고 사이버수사대에 신고하는 등 즉각적인 조치를 취했다고 밝혔다. 하지만 금융사고 발생시 신고해야 하는 금융위나 금감원에 신고했는지 확인되지 않고 있다.
우리은행(행장 손태승)이 고객정보 56,000건을 바탕으로 해킹 시도가 발생한 가운데, ‘크리덴셜 스터핑(Credential Stuffing)’과 관련한 논란이 재점화되고 있다. 하나의 비밀번호를 여러 계정에 쓰는 이용자 문제라는 입장과 탐지·대응을 제대로 못한 은행 측 문제라는 입장으로 나뉘고 있다.
크리덴셜 스터핑 (Credential Stuffing)
로그인 정보 등 개인 신상과 관련해 암호화한 정보를 폭넓게 아울러 ‘크리덴셜(credential)’이라고 한다. 크리덴셜은 사용자가 본인을 증명하는 수단으로서의 의미를 갖는데, ‘크리덴셜 스터핑’ 공격이란 공격자가 이미 확보한 크리덴셜을 다른 계정들에 마구 쑤셔 넣는(stuffing) 방식으로 사용자 정보를 침해하고 공격하는 것을 가리킨다.
우리은행에 따르면, 사이버 공격자는 23일부터 27일까지 5일간 우리은행 인터넷뱅킹 웹사이트에서 총 85만회 로그인을 시도했다. 공격자는 앞서 타 은행에서 유출된 로그인 정보를 이용한 것으로 추정된다. 해당 은행과 동일한 ID·비밀번호 조합을 사용한 우리은행 고객 56,000명이 이번 공격으로 피해를 입었다.
– 이하생략 –
[bs-quote quote=”매번 이런 낮은수준의 해킹도 감지하지 못하는 기업의 보안…
3개의 주소에서 약85만번을 접속했는데도 탐지하지 못하는 것은 무늬만인 보안시스템( 침입탐지시스템, 이상금융거래탐지시스템(FDS)을 갖추고 있는 것인가?” style=”style-4″ align=”left” author_name=”정보화사회실천연합” author_avatar=”https://www.cisp.or.kr/wp-content/uploads/2016/07/favicon-53×53.png”][/bs-quote]