아마존 해킹 대응 및 예방법

아마존 해킹 대응 및 예방법

 

아마존 해킹 대응 및 예방법

 

최근 아침에 일어나 보니 간밤에 아마존 계정이 해킹을 당했다는 글을 심심치 않게 보게 됩니다. 급하게 아마존에 해킹 내용을 상담사에게 알리고, 카드사에도 알리고 카드 재발급 등 피해를 줄이기 위해서 이리저리 바삐 움직이는 피해자들이 많아졌습니다.

포탈에 올라오는 해킹을 당했다는 피해자의 글에는 다수의 사용자들이 댓글로, “2단계 인증은 안 했느냐?”라는 식의 질문이 있었는데, 많은 피해자들이 이미 2단계 인증을 했음에도 해킹을 당했으며 어떤 피해자의 경우, 아마존에 등록된 이메일 계정까지 해커의 이메일로 이미 변경되어 있었다고 합니다. 해커는 아마존 해킹 및 이메일 변경 후 변경 내용 통지 메일을 삭제하기 위해 피해자의 메일 계정까지 접속하여 몰래 삭제하고, 휴지통까지 비웠다고 합니다. 동일한 해킹을 당한 한 피해자는 휴지통까지는 삭제하지 않아 휴지통에 관련 변경 내용 통지 메일이 남아있더라는 댓글을 남기기도 했습니다.

단순히 아마존 계정만 털린 것이 아니라 사용자 이메일 계정까지 해커가 접속이 가능하다고 판단이 됩니다. 그럼 추정할 수 있는 아마존 해킹 시나리오에 대해서 살펴보도록 하겠습니다.

 

크리덴셜 스터핑

 

많은 사용자들이 주로 사용하는 e-mail 주소와 함께 동일한 비밀번호를 다양한 사이트에 그대로 사용하는 경우가 있습니다. 가끔 공동구매 사이트의 인기글에 피싱사이트 단축 url 링크가 포함된 경우가 있었습니다. 작년에 마스크 품귀현상이 아주 심했었는데요 좋은 가격으로 마스크 구매 링크가 올라왔었습니다. 많은 사용자들이 마스크를 구매하기 위해서 링크를 눌러 해당 사이트에 접속하고 회원가입을 했는데, 알고 보니 해커가 마스크 제조사 홈페이지를 복제하여 교묘하게 만든 피싱 사이트였습니다. 이 링크를 눌러 가입한 사용자의 경우 이메일, 비밀번호, 가입 당시 입력한 개인 정보까지 모두 해커의 database에 등록되었다고 보시면 됩니다.

해커들은 이렇게 수집한 정보를 자동화된 프로그램을 이용하여 여러 사이트에 아이디와 비밀번호를 입력해보고 사용 가능 여부를 확인합니다. 노출된 이메일 그리고 비밀번호가 아마존에 동일하게 사용되었다면 이를 이용해 해커가 접속했을 가능성이 있습니다.

마스크 제조사 뿐만 아니라, 해커는 결제수단이 등록된 Amazon, Aliexpress, 쿠팡과 같은 쇼핑몰을 그대로 복제하여 피싱사이트를 만들기 때문에 특히 공동구매 사이트 및 포탈에 올라오는 링크를 주의하셔야 합니다. (aliexfress, couqang과 같은 도메인을 사용한 경우가 있었음) 댓글로 잘 구매했다며 감사하다는 댓글이 있더라도, 그대로 믿어서는 안됩니다. 이미 탈취한 다른 계정을 이용하여 자신의 피싱 글에 많은 피해자들을 유인하기 위해 해커가 직접 댓글을 남겼을 가능성 역시 있기 때문입니다.

 

pop3 및 imap 해킹 시나리오

 

IMAP/SMTP 해킹 시도

 

그렇다면 해커가 어떻게 사용자의 이메일 계정까지 접속해서 메일을 삭제했을까요? 많은 사용자들이 주로 사용하는 메일 계정은 2단계 인증까지 적용하여 안심하시는데요, pop3와 imap의 경우에는 로그인 암호와는 다른 별도의 앱 전용 비밀번호를 생성하여 사용하게 되며 2단계 인증 없이 아웃룩, spark, thunderbird와 같은 메일 전용 프로그램에서 접속을 할 수 있습니다.

 

POP3 Brute force

 

네이버와 다음의 경우, 생성되는 앱 전용 비밀번호가 단순하게 소문자, 대문자 그리고 숫자로만 자동으로 생성됩니다. 특수문자 없이 대문자+숫자 조합, 소문자+숫자 조합으로 비밀번호가 생성되기에 가능할지는 모르겠지만 무차별 대입이 성공한다면 pop3 및 imap을 통해서 몰래 이메일을 확인할 가능성이 있다고 추정할 수 있습니다. (개인적인 합리적 추정입니다.)

제 경우에는 pop3, imap을 모두 “사용 안 함”으로 설정해서 사용하고 있는데요, 가끔 네이버에 imap/stmp 등록을 실패했다는 이메일을 수신하는 경우가 있습니다. IP로 확인해보면 러시아에서 등록을 시도한 것으로 나오는데요, 해커가 자기의 IP를 직접적으로 사용하지는 않았을 것이고 자신의 정체를 숨기기 위해 러시아의 프록시 서버를 경유한 것으로 판단됩니다.

저와 동일한 경우를 포탈에 올라오는 해킹 시도를 당했다는 글에서 가끔 확인하는데요 이를 통해 자동화된 프로그램을 통해서 다수의 pop3 및 imap 계정을 랜덤으로 노리고 있다고 의심할 수 있습니다. pop3, imap 서비스가 필요 없다면 “사용 안 함”으로 바꿔줘서 모든 접속 시도를 차단하는 것도 좋을 것 같습니다.

 

러시아 서버 

 

또한 악성 파일을 통해 사용하는 컴퓨터가 직접적으로 해킹당한 경우 피해자들은 해킹 사실을 인지한 후 메일 계정의 비밀번호는 변경하더라도 pop3, imap의 앱 비밀번호는 변경할 생각을 보통 못합니다. 최초 한 번 기기에 등록해서 계속 사용하는 경우가 있다 보니 컴퓨터 해킹으로 outlook 프로그램이나 다른 메일 프로그램에 등록했던 앱 전용 비밀번호가 노출된 경우라면 앱 비밀번호를 변경하지 않는 한 지속적으로 해커가 메일을 확인할 수 있었을 것입니다.

 

 

Outlook 비밀번호 추출

 

메일 계정의 비밀번호를 바꾸셨다면 잊지 말고 pop3, impa/smtp 접속을 위한 앱 전용 비밀번호 역시 새 랜덤 비밀번호로 바꿔주셔야 할 것입니다.

Pop3, imap/smtp를 사용하는 대신 다음메일, 네이버 전용 앱을 사용하시면 메일 확인도 가능하며 보다 안전한 이용이 가능할 것 같습니다. 다음메일 앱의 경우, 발신 메일의 수신 여부까지 휴대폰 알림으로 확인이 가능하기 때문에 전용 앱을 사용하시는 것이 더욱 좋습니다.

 

원격데스크톱 해킹 시나리오

 

rdp log

 

Pop3, imap뿐만아니라 코로나로 재택근무에 원격 데스크톱을 많이 사용하는데요. 이런 원격 데스크톱 프로그램의 자체 취약점을 통해서 해커가 원격 데스크톱에 접속했을 가능성이 있습니다. 또한 해킹 프로그램에 감염되어 해커가 원격 데스크톱으로 접속했을 가능성 역시 있습니다. 이런 경우 c:\에 xxxxx.rdp와 같은 기록이 남아있을 수 있습니다.

피해자가 잠든 시간대에 웹 브라우저를 원격 데스크톱에서 실행하고 바로 이메일 계정뿐만 아니라 접속을 유지시켜둔 다른 모든 사이트도 접근이 가능했을 것이라고 추정할 수 있습니다.

따라서 원격 데스크톱을 위해 상시 켜둬야 하는 컴퓨터라면 가능하면 중요한 사이트(메일 계정, 전자상거래 사이트 등)의 경우, 로그인 상태 유지로 사용하는 것을 피하시고 꼭 웹 서핑이 끝나면 로그아웃을 잊지 말아야 할 것입니다.

뿐만 아니라 웹 브라우저에 자동 저장되는 비밀번호 역시 원격 데스크톱용으로 사용하는 컴퓨터에는 가능하면 자동 저장 기능을 사용하지 않는 것이 좋을 것 같습니다. 해커가 원격 데스크톱 서버를 해킹 했다면 브라우저 비밀번호 저장 기능을 악용할 수 있기 때문입니다.

원격 데스크톱에 사용하는 서버용 프로그램 역시 많은 사용자들이 사용하며 평판이 좋은 프로그램을 사용해야 할 것입니다.

 

결제 수단 삭제

 

결제수단으로 신용카드를 등록해서 사용하는 경우가 대부분인데요, 이렇게 해킹을 당하는 사례가 많아지다 보니 구매를 한 이후에는 결제수단에서 신용카드를 일시적으로 삭제하는 것이 어떨까요? 계정이 털리더라도 등록된 결제수단을 이용해서 해커가 주문을 해버리는 추가 피해를 방지할 수 있기 때문입니다. 조금 불편하더라도 매번 구매할 때 다시 신용카드를 사용해서 건 별로 결제하는 것이지요. 불편할수록 보안은 더욱 위협으로부터 안전 해집니다.

2단계 인증을 했음에도 해킹을 당하는 사례를 보면서 제가 개인적으로 의심되는 몇 가지 해킹 시나리오에 대해서 이렇게 글을 남기게 되었습니다. 혹시 개발자나 보안 관련 실무자의 입장에서 제 시나리오가 전혀 말이 안 되거나 다른 의견이 있다면 방문자들도 알 수 있도록 댓글로 남겨주세요, 해킹 피해를 당하는 피해자가 더 나오지 않았으면 하는 입장에서 글을 남겼지만 개발자나 보안 전문가는 아니기에 내용이 부족할 수 있으며 전문가의 의견과 다를 수 있습니다.