지금 당장 마이크로소프트 계정 점검하세요! 크리덴셜 스터핑 공격 확인 방법, 안전한 비밀번호 만드는 방법

 

애들자면 리뷰하는 남자! 애둘형 입니다.

 

여러분은 이 포스팅을 보자마자 지금 당장 마이크로소프트 계정을 확인해야 합니다. 크리덴셜 스터핑(Credential Stuffing) 공격으로 인해 여러분의 계정이 노출되었을 수도, 혹은 계정 로그인이 되었을 수도 있거든요. 그럼 크리덴셜 스터핑은 무엇인지, 마이크로소프트 계정에서 어떻게 확인할 수 있으며, 안전한 비밀번호를 만들기 위해서는 어떻게 해야하는지 알아보도록 하겠습니다.

 

 

1. 크리덴셜 스터핑(Credential Stuffing) 공격이란?

크리덴셜 스터핑은 공격자가 여러 가지의 경로로 수집한 사용자들의 로그인 인증 정보를 다른 사이트들의 계정 정보에 마구잡이로 대입하여 공격하는 방식입니다. 예를 들어 A 사이트를 해킹하여 얻은 aaa@naver.com 이라는 계정 정보를 B 사이트에 대입하여 로그인해보거나, 인터넷에 노출된 개인정보(이메일, 전화번호 등)를 사용하여 C 사이트에 대입하여 로그인해보는 등의 방법을 말합니다.

 

 

매우 단순한 방법이지만 의외로 효과가 높아서 많은 공격자들이 사용하는 방법 중 하나라고 합니다. 또한 대부분의 사람들이 동일한 혹은 비슷한 비밀번호를 사용하기 때문에 비밀번호까지 누출되었을 경우 여러 사이트에서 로그인할 확률이 높습니다.

 

 

2. 마이크로소프트 계정 점검 방법

마이크로소프트 계정을 확인하기 위해서는 https://account.microsoft.com/security 링크에 접속하여 마이크로소프트 계정 로그인을 합니다.

 

 

로그인을 하면 계정 사용 시간 및 장소 확인 화면이 나옵니다. 아래쪽에 있는 [추가 계정 활동 보기]를 누릅니다.

 

 

참 많이도 공격이 들어왔네요. 다행인 것은 로그인이 성공한 적이 한 번도 없었다는 것입니다. 이는 비밀번호가 누출되지 않았다는 이야기이기도 합니다.

 

 

독일에서 자동 동기화가 된 경우도 있어서 확인해보니, 동기화 방식으로 로그인을 하려는 경우도 있었나봅니다. 다행히 모두 실패한 동기화가 되어 크게 의미는 없는 듯 합니다.

 

 

찝찝해서 [계정 보안] 버튼을 눌렀더니 이런 메시지가 뜹니다. 로그인 시도가 실패했기 때문에 암호를 변경할 필요가 없다고 합니다. 

 

 

이러한 상황을 막기 위해 마이크로소프트 계정에서 2차 인증을 활성화하거나, 비밀번호를 더욱 강력하게 만드는 등 방법을 통해 계정을 보호하실 수 있습니다.

 

 

3. 안전한 비밀번호 만들기

안전한 비밀번호를 만들기 위해서는 아래와 같은 방법을 사용하실 수 있습니다.

 

1) 비밀번호는 최소 10자리 이상, 영어 대문자/소문자/숫자/특수문자 중 3종류 이상의 조합으로 작성하기

보통 해커들이 사용자들의 비밀번호를 알아내는 방법 중 하나는 브루트 포스(Brute Force) 공격 방법으로 무차별 대입을 통해 비밀번호를 유추하는 방법입니다. 예를 들어 4자리 비밀번호라고 할 경우 aaaa -> aaab -> aaac -> ... 이런 식으로 무차별 대입을 통해 비밀번호를 알아내는 방식입니다.

 

브루트 포스 공격 방법은 자릿수가 길어지고 복잡할수록 소요되는 시간이 기하급수적으로 증가하게 됩니다. 따라서 비밀번호는 최소 8자리 이상으로 하라고 하지만 최소 10자리 이상으로 하고, 영어 대문자/소문자/숫자/특수문자 중 3종류 이상의 조합으로 설정하시는 것을 추천합니다. 

 

2) 주기적인 비밀번호 변경

한 번 이상 노출된 비밀번호는 절대 사용하지 말고, 계정 정보가 유출된 즉시 비밀번호를 변경해야 합니다. 또한 기존에 사용하던 패턴이 있다면 다른 방식으로 사용하여 비밀번호가 유추되지 않도록 방지해야 합니다.

 

3) 자신만의 비밀번호 규칙 만들기

대부분의 사용자들은 기억하기 어렵다는 이유로 사이트마다 동일한 비밀번호를 설정합니다. 크리덴셜 스터핑 공격을 예방하기 위한 가장 좋은 방식은 사이트별로 다른 비밀번호를 사용하는 것입니다. 

 

예를 들어, 비밀번호 규칙 패턴을 [사이트 이름 앞 3자리(맨 앞자리는 대문자) + 집주소 번지 4자리(예를들어 1415번지) + 특수문자 3개] 로 설정한다고 가정합니다. 해당 규칙에 따라 비밀번호를 생성하게 된다면 구글 비밀번호는 Goo1415!@#, 네이버 비밀번호는 Nav1415!@# 등이 됩니다.

 

4) 2차 인증 활성화하기

대부분의 포털사이트 등에선 2차 인증을 사용한 보안을 권장합니다. 다소 번거롭더라도 OTP, 포털 앱, 메신저 앱, 인증 앱(PASS 등)과 같은 2차 인증을 활성화하여 비밀번호가 유출되더라도 실제 로그인까지 이루어지지 않도록 보안을 강화할 수 있습니다.