지마켓(gmarket) 을 타겟으로 한 부정 로그인 시도로 피해 속출

지마켓 시스템 자체를 뚫고 들어간 해킹은 아니라고.. 요즘는 크리덴셜 스터핑(Credential Stuffing)이라 부른다는데, "해커가 이미 유출됐거나 사전에 탈취한 아이디와 비밀번호를 무차별적으로 대입해 로그인을 시도하는 공격 방식"이라고 한다. 풀어쓰니 다들 아는 것.

국내에서는 인터파크, LG유플러스 등에서도 발생한 적 있다고 한다. 자기가 아닌 로그인시도나 흔적이 있으면 바로 비밀번호를 바꾸고, 그 사이트가 2단계 인증 등 복잡한 인증체계를 지원하면 그걸 더할 것. (그리고 큰 의미는 없지만 그래도 국내사용자라면 해외로그인금지는 기본)

지마켓 이용자들이 아이디, 비밀번호를 다른 데서 같거나 비슷하게 쓰다 거기서 유출되면 그걸 수집한 해커가 그 정보를 가지고 지마켓에 로그인시도. 성공하면 지마켓이 사용하는 간편결제시스템인 스마일페이나 상품권 주문결제로직을 악용해 금전적 피해를 입히고는 바로 대응하기 어렵게 계정탈퇴까지 해놓기도. 그 과정에서 피해자의 개인정보를 더 많이 뽑아갔으니 다른 사이트에서 공격하는 데 사용할 것으로 예상.

https://naver.me/5nPJ0bcs

"나도 모르게 150만원 털렸다"…상품권 먹튀 피해자 속출  [조아라의 IT's fun]

기사에서는 네이버, 카카오, 구글, 스팀 등 메이저 사이트의 경우 여러 종류의 보안장치를 지원한다면서 몇 가지를 소개.

그것과, 생각난 것 섞어 끄적.
ㅡ 주기적인 비밀번호 변경. 같거나 유사한 비번을 여러 사이트에 쓰지 말 것.
ㅡ 추가 보안설정이 있으면 쓸 수 있는 옵션을 확인하고 적용
ㅡ 관리자사칭 이메일, 문자 등 피싱 주의
ㅡ 로그인한 다음 추가 개인정보를 보려면 다시 인증을 요구하는 프라이버시보호서비스
ㅡ 로그인 전용 아이디
ㅡ 2단계 인증.. 예를 들어 등록한 단말기의 앱이나 문자, ARS 등을 이용.
ㅡ 일회용 로그인
ㅡ QR코드 로그인 서비스
ㅡ 비번없이 다른 방식의 본인인증으로 로그인해 기본기능을 이용하는 패스워드리스
ㅡ 등록하지 않은 웹브라우저, IP, 단말 등에서 로그인시도하면 주사용단말기로 푸시알림하거나 주사용메일주소로 알림.. 본인이 아니라고 확인하면 계정잠금.^[각주:1]
ㅡ 의심스런 접속기록을 자동추출해 경고


생각에, 로그인시도를 몇 번 틀리면 그 방식으로는 더 시도못하거나, 계정을 확 잠그는 게 보통이겠지만.. 어디였는지 모르겠는데, 로그인은 봇이 아닌 사람이 한다고 가정하고 1회 로그인에 걸리는 시간를 정하고, 틀릴 때마다 재시도가능한 시간간격을 2배로 늘리는 곳도 있지 않았나요? 그러면서 기본연락처로 경고하는.. 어디였지?

1. 이런 경우를 대비해 계정잠금을 풀 수 있는 정보를 설정해놔야 한다. [본문으로]