지난 몇주간 보았던 해킹 관련 글들을 보고, 관심이 생겨 원챈 전체의 해킹 사례들(2020~)을 하나씩 살펴봤다.
그 결과, 공격의 특징과 피해자들의 공통점을 몇가지 찾을 수 있었다.
1. 원신과 이메일 비밀번호를 전부 다르게 사용한 사용자도 해킹을 당한다. (증언 多)
2. 이메일에 2FA를 사용한 사용자도 해킹을 당한다. (증언 多)
3. 네이버 메일 계정을 해킹당했는데 네이버 로그인 기록은 없다. (증언 少)
4. 해킹된 계정은 러시아, 중국, 태국, 일본 등지에서 싼 가격에 판매된다. (증언 多)
5. 계정 해킹 후 접속하여 무기, 성유물만 다 갈아버리고 탈취는 안한(못한)경우가 있음. (증언 少)
6. 악성코드로 추정되는 공격으로 인해 원신 계정을 해킹당함 (증언 少)
증언을 바탕으로 추론해보자면,
비밀번호의 독립성, 복잡성이 의미 없는 해킹 방식이 있음, 아마 비밀번호 교체 주기도 의미 없을 것.
=해킹 시점에서 대상의 비밀번호를 완벽하게 알고있음 또는 비밀번호가 의미 없음.
2FA를 적용한 구글 계정은 보안성이 매우 뛰어남, 하지만 그래도 연동된 계정이 털림
=완벽한 2FA bypass 또는 2FA가 의미 없음.
해킹 당했는데 이메일 접속 기록은 없음
=해킹 시점에 공격자는 이메일에 접속하지 않았음.
해킹된 계정은 싼 가격에 대량으로 판매됨
=해킹의 목적은 수익이며 대량으로 싸게 팔만큼 과정이 간단하고 빠르다.
이를 바탕으로 해킹 시나리오를 짜보니, 재밌는 사실을 발견할 수 있었다.
'받은 메일함'만 감시할 수 있다면 원신 계정을 쉽게 탈취할 수 있다는 것.
다음은 해당 조건을 적용한 해킹 시나리오다.
0. 대상의 '받은 메일함'을 감시할 수 있음을 전제로 함
1. account.hoyoverse.com 접속
2. 아이디, 비밀번호 아무것도 모르지만 상관없음, '문제 발생' 누름
3. 대상의 이메일 입력(메일함에서 확인 가능)
4. '받은 메일함'에서 2FA 코드 확인 후 입력
5. 비밀번호 재설정
6. 계정 보안 설정 진입 후 이메일 연동 변경
7. '받은 메일함'에서 2FA 코드 확인 후 입력
8. 연동 이메일도 바뀌고 비밀번호도 바뀜 = 계정 탈취 성공
'비밀번호 복잡하고 따로 썼는데 당함', '구글 2차보안 있음', '악성코드 없음'
해당 조건들을 전부 만족하고, 아이디, 비밀번호 필요 없이 '받은 메일함'만 확인 할 수 있으면 되므로 간단하기까지 함.
중간 정리하면, 공격 유형은 3가지로 보이고 해당 유형이 대부분을 차지하는 것으로 보인다.
1. 계정탈취형 공격(多)
2. 악성코드형 공격(少)
3. 개인정보 유출형 공격(少)
다시 하나씩 살펴보자.
1. 계정탈취형 공격
ㄴ2021년 2월에 어떤 해킹 사례에 달린 댓글이다. 이런 댓글이 달리면 존나 빡치겠지만, 해킹 과정을 생각해보니 맞는 말이다.
원래는 미호요 아이디/비밀번호로 원신에 접속하지만, 이메일 연동을 하게 되면 이메일/비밀번호로도 접속할 수 있게 된다.
그리고 비밀번호는 이메일만 있다면 비밀번호 찾기를 통해 재설정할 수 있다.
그걸로 계정 보안에 접속해서 이메일 변경까지 뚝딱. 방금 위에서 말했던 시나리오 그대로다.
해당 댓글은 이메일 계정의 해킹을 조건으로 삼았지만, 실제 조건은 메일함을 확인할 수만 있으면 된다.
그럼 메일함 감시를 어떻게 하는가?
https://arca.live/b/genshin/58595626
해당 글에서 정답을 찾을 수 있다. POP/IMAP이다.
비슷한 기능으로 메일 전달 기능이 있다. 전달 기능은 다른 이메일 주소로 자신이 받는 이메일을 계속 전달해주는 기능인데, 이 기능은 켜지면 일주일동안 꺼지지 않는 경고성 알림을 상단에 보여준다. 네 메일이 다른곳으로 전달되고 있으니, 니가 한게 아니면 빨리 대응하라는 의미라고 보면 된다.
그런데 POP/IMAP은 그런 경고 메시지가 없다.
POP/IMAP은 스마트폰 앱이나 다른 메일 클라이언트에서 여러 이메일을 통합하여 관리할 수 있게 하는 기능인데, 전달 기능처럼 다른 계정에서 똑같이 이메일을 확인할 수 있다.
뭔지도 모를 기능에 기본값이 끄기인지 켜기인지도 모르는걸 구석탱이에 설명도 없이 박아두면서 경고성 알림도 안띄워준다.
기본값은 꺼져있는게 맞고, 네가 한번이라도 킨 기억이 없는데 켜져있다? 지금까지 루스키한테 계속 메일을 조공하던것.
이걸로 3. 네이버 메일 계정을 해킹당했는데 네이버 로그인 기록은 없다. 가 성립한다. IMAP은 기록이 다른데 찍히니까.
원신 해킹 사례는 아니지만 유사 사례로 IMAP을 악용해서 아마존, 스팀, 유비소프트 계정을 해킹한 것이 확인된다. 한창 배그 유행할때 짱깨새끼들이 스팀 계정을 존나 해킹했는데, 인증코드를 어떻게 알았을까? 스팀가드가 아니라 이메일 인증이라 가능했던 것. 원신도 똑같다.
그러면 POP/IMAP은 무적의 해킹법인가?
아니다. 일단 POP/IMAP을 설정하기 위해서는 해당 이메일에서 기능을 켜야하고, 다른 클라이언트에 IMAP을 등록하려면 이메일 비밀번호도 필요하다.
그리고 해당 이메일에서 2FA를 활성화한다면 계정 비밀번호 대신 앱 비밀번호를 사용해서 보안적으로 더 우수해진다.
1. 이메일 계정을 한번 해킹하던가, 로그인된 기기를 강제로 제어하던가 해서 IMAP 기능을 켜야한다.
2. IMAP를 등록하는데는 비밀번호가 필요하고, 정해진 포트와 암호화 방식을 기입해야 한다.
3. 2FA를 활성화하면 계정 해킹이 어려워지고 별도의 앱 비밀번호를 쓰므로 사실상 이 과정을 대부분 방어한다.
그러므로 2FA가 설정된 이메일의 원신 계정 해킹 사례들은 이미 한차례 이메일을 해킹당한 적이 있고, 이를 눈치채지 못하고 IMAP 설정을 내줬을 가능성이 크다.
2. 악성코드형 공격
'악성 광고, 토렌트, 크랙 프로그램'
원챈 사례중에 악성코드로 인한 해킹 사례도 있었다. 무슨 광고를 잘못 눌렀더니, 알 수 없는 파일 두개가 설치되고 PC가 강간당했다는 내용이었다.
가능한 일이다. 만약 시스템에 악성코드가 성공적으로 침투하고 나면 계정 보안이 무의미해진다. 공격자가 원신 계정을 털어먹고자하면 직접 이미 로그인된 이메일을 열고 코드를 확인하면 된다.
하지만 이런 경우는 원신 유저를 저격한 공격 형태가 아니다. 해당 사례처럼 공격자가 기기 제어권을 가지는데 성공한다면, 공격자는 '싼 가격'의 원신 계정보다는 페이팔, 비트코인, 각종 간편결제 시스템과 같이 '더 비싼' 목표를 노릴 가능성이 높다.
그리고 이렇게 직접 기기를 제어하는 공격보다는 불특정 다수를 향한 랜섬웨어 배포가 훨씬 수익성이 좋다.
악성코드 조심하지 말라는게 아니다. 간단한 키로거(KeyLogger)도 한번 설치만 된다면 네 계정 정보와 비밀번호를 탈취할 수 있다.
항상 경계하되, 원신 해킹의 모든 원인이 악성코드에 있듯 괜히 심각해지지 말라는 것.
3. 개인정보 유출형 공격
'비밀번호 돌려쓰기'
보안에 신경 썼는데도 해킹 당한 케이스가 있다면, 이 경우는 보안에 무관심해서 당한 케이스다.
대부분의 사이트에 같은 아이디를 쓰고, 비슷한 비밀번호를 쓴다면 보안성이 확 떨어진다.
그런 상태에서 스캠 사이트(보안 취약한 하꼬 쇼핑몰, 페이크 사이트)에 당하거나 앞서 말한 키로거에 한번 따이면...
계정 정보는 더이상 개인정보가 아니라 공공재가 되버린다.
항상 그렇지만 보안 취약성은 한번 당하기 전에는 눈치채기 어렵다.
구글에 검색만 해도 계정 정보가 나오거나 다크웹에서 개인정보 뭉탱이로 엮여서 팔리거나 하는데도 말이다.
위에서 비밀번호 복잡한거랑 돌려쓰는거랑 의미없지 않댔냐???
저 해킹 방법이 비밀번호가 필요 없을뿐이지 같은거 돌려쓰라는 말은 아니다...
그냥 구글 계정에 2FA 활성화하고 추천 비번써라.
지금까지 3가지 공격 유형을 알아봤다.
그래서 진짜 저렇게 해킹하는건가요?
나도 실제로 어떻게 해킹하는지는 모른다.
하지만 이렇게 해킹 시나리오를 세우고 공격 조건과 과정을 정리해보면, 대응책마련에 도움이 된다.
이런 과정을 모의 해킹이라고 하며 발생 가능한 보안 사고를 예방하고 차단할 수 있다.
설사 실제 해킹 방법과 다르더라도 시나리오가 타당하면 보안에 도움이 된다.
1. 사용하는 이메일 계정에 2FA를 활성화한다.
2. 사용하는 이메일 비밀번호와 다른 비밀번호들을 최소 12자 이상, 서로 다르게 설정한다. (다른 사이트들 추천 비밀번호 사용하기)
3. 사용하는 이메일에서 POP/IMAP 기능이 켜져있는지 확인한다. 켜져있으면 끄면 된다.
(켜져있다면, 이미 유출된 정보가 많으므로 해당 이메일과 관련된 계정 비밀번호들을 점검한다.)
(https://haveibeenpwned.com/ 는 자신의 이메일이 유출됐는지 확인하는데 상당히 도움된다.)
4. 윈도우 버전을 최신상태로 유지하고 안티 바이러스를 활성화한다.
5. 애드블록을 설치하고 어떤 광고도 절대 누르지 않는다.
6. 안전하지 않은 사이트에 들어가거나 크랙 프로그램을 사용할 때 항상 리스크를 인지한다.
(scamadvisor같은 사이트들로 안전을 판별하는 것은 좋지 않다. 항상 경계해라.)
이정도면 설명한 유형.들은 충분히 피할거라고 본다.
IMAP 끄고, 2FA 켜고, 비번 바꾸는걸로 이메일 연동 계정 탈취는 막힌다.
비번 돌려쓰지 않고, 보안에 신경쓰는걸로 무기와 성유물이 갈리는 것은 피할 수 있다.
애드블럭 깔고 안티바이러스 켜고 적당히 위험한걸 인지만 해도 악성코드 잘 안걸린다.
OTP 추가 안해서 해킹 존나 당한다는 얘기도 있던데, 반은 동의하고 반은 아니다.
OTP나 지금 이메일, 휴대전화 인증이나 같은 2FA고, 이메일이 아닌 휴대전화를 인증수단으로 한 사람은 저 해킹법에서 자유롭다.
근본적인 문제의 원인은 대책 없이 이메일 인증 하나에 모든 보안을 맡긴 미호요의 병신같은 보안설계라고 본다.
2FA 보안성 순서는 이메일<SMS<OTP<물리키 정도로 보고... 그만큼 이메일은 보안성을 기대할 수 없는 인증 수단임.
해킹 생각하면서 이래저래 고민 많았는데, 나는 이정도로 고민 끝내련다.
조무사니까 전문성 따지지 마셈. 믿거나 말거나 이게 맞을지 틀릴지는 알아서 생각
