paint-brush
23andMe 해킹을 막을 수 있었던 것은 무엇이었나요?~에 의해@hillpot
875 판독값
875 판독값

23andMe 해킹을 막을 수 있었던 것은 무엇이었나요?

~에 의해 Jeremy Hillpot8m2024/01/16
Read on Terminal Reader

너무 오래; 읽다

2023년 10월, 23andMe는 수백만 명의 사용자의 개인, 유전, 민족 데이터가 도용된 데이터 침해 사건을 발표했으며 이후 다크 웹에서 판매되었습니다. 해커들은 다른 사이트에서 훔친 사용자 이름/비밀번호 조합을 사용하여 사용자의 일반적인 비밀번호 재사용 관행을 악용하는 "크리덴셜 스터핑"을 사용했습니다. 이 방법은 23andMe의 "DNA Relatives" 기능이 사용자 데이터를 상호 연결함에 따라 강력한 비밀번호를 가진 계정까지 노출시켰습니다. 이 사건은 비밀번호 보안을 사용자에게만 의존하는 것이 부적절함을 강조하고 웹사이트의 보다 강력한 액세스 제어 조치의 필요성을 강조합니다. 비밀번호 관리자, 다단계 인증(MFA), YubiKey와 같은 물리적 보안 키, Cisco Duo와 같은 포괄적인 보안 솔루션, Google Authenticator와 같은 인증 앱, 로그인 장치를 물리적 보안 키. 각 옵션에는 고유한 장점, 과제 및 취약점이 있습니다. 이 기사는 특히 DNA 정보와 같은 개인적이고 민감한 데이터가 온라인에서 점점 더 많이 이용 가능해짐에 따라 디지털 보안의 진화하는 특성을 강조하며, 그러한 위반을 방지하기 위한 고급 사이버 보안 조치의 채택을 촉구합니다.
featured image - 23andMe 해킹을 막을 수 있었던 것은 무엇이었나요?
Jeremy Hillpot HackerNoon profile picture
0-item
1-item
2-item
3-item


23andMe 해킹이 어떻게 발생했는지, 그리고 다양한 로그인 액세스 제어 솔루션이 이를 어떻게 막을 수 있었는지 알아보겠습니다.


2023년 10월 10일, 23andMe는 악당들이 물건을 훔쳤다고 발표했습니다. 수백만 명의 사용자의 개인, 유전, 민족 데이터 . 더욱 충격적인 점은 해커가 23andMe 사용자의 이름, 사진, 위치, 유전적 혈통 정보를 포함한 이 데이터를 다크 웹에 판매하여 피해자가 인종에 따라 표적이 될 가능성이 있다는 것입니다.


이 기사에서는 23andMe 해킹이 어떻게 발생했는지 살펴보고, 가장 중요하게는 다양한 로그인 액세스 제어 기술이 23andMe가 이러한 해킹이 처음부터 발생하는 것을 방지하는 데 어떻게 도움이 되었는지 살펴봅니다.


해커들은 어떻게 23andMe에 침입했나요?


23andMe 해커는 대부분의 사람들이 서로 다른 웹사이트에서 동일한 사용자 이름/비밀번호 조합을 사용한다는 사실에 의존하는 "크리덴셜 스터핑"을 사용했습니다. 기본적으로 해커는 해킹된 다른 웹사이트에서 사용자 이름/비밀번호 조합 목록을 가져와서 대상으로 삼으려는 웹사이트에서 이를 시험해 봅니다.


이에 대한 좋은 예는 다음과 같습니다. RockYou2021 데이터베이스 . 이는 다양한 웹사이트에서 도난당한 84억 개의 자격 증명이 포함된 공개적으로 사용 가능한 다크 웹 파일입니다. 이 목록이나 다른 목록에 손상된 자격 증명이 있을 가능성이 있으므로 모든 웹사이트에서 고유한 비밀번호를 사용하는 것이 매우 중요합니다.


워싱턴 포스트에 따르면 , "지하 포럼에서 판매할 데이터를 제공하는 온라인 게시물에 따르면 구매자는 $1,000에 100개의 프로필을, $100,000에 최대 100,000개의 프로필을 얻을 수 있다고 합니다." 이번 위반으로 인해 약 1,400만 개의 계정이 영향을 받았습니다.


23andMe가 크리덴셜 스터핑에 취약한 이유는 무엇입니까?


TechCrunch 에 따르면:


“23andMe는 고객이 비밀번호를 재사용하고 DNA Relatives 라는 선택 기능을 사용하여 사건을 비난했습니다. 이 기능을 통해 사용자는 유전 데이터가 자신과 일치하는 다른 선택 사용자의 데이터를 볼 수 있습니다. 이론적으로 사용자가 이 기능을 켜면 해커가 단일 사용자의 계정에 침입하여 두 명 이상의 사용자에 대한 데이터를 긁어낼 수 있습니다.”


귀하가 비밀번호를 재사용한 경우(대부분의 경우) 이러한 종류의 해킹에 취약합니다. 그러나 잘못된 비밀번호 관행에 대해 고객을 비난하는 것은 실제로 공평하지 않습니다. 강력한 비밀번호를 사용하는 23andMe 계정도 취약했습니다. 'DNA Relatives' 프로그램이 사용자 데이터를 연결하는 방식으로 인해 비밀번호가 취약한 계정은 비밀번호가 강력한 계정을 노출시켰습니다.


궁극적으로 사용자가 올바른 비밀번호 관행을 채택하도록 의존하는 것은 액세스 제어와 관련하여 손실되는 전략입니다. 최근 통계에 따르면:


  • 13% 의 사람들이 모든 계정에서 동일한 비밀번호를 재사용합니다( 2019 Google 연구 y)
  • 52%는 여러 계정에 동일한 계정을 사용합니다( 2019 Google 연구 )
  • 35%(책임자)만이 모든 계정에 대해 다른 비밀번호를 사용합니다( 2019 Google 연구 )
  • 2022년에 확인된 위반 중 81% 는 취약한 비밀번호, 재사용 또는 도난당한 비밀번호로 인해 발생했습니다. ( LastPass 보고서 )



이러한 통계를 보면 웹사이트 관리자가 할 수 없다 사용자가 올바른 비밀번호 관행을 개발하도록 돕습니다. 이는 웹사이트 소유자에게 더 나은 로그인/액세스 조치를 구현해야 하는 명확한 책임을 부여합니다.


1Password와 같은 비밀번호 관리자는 어떻습니까?


비밀번호 관리자는 고유한 비밀번호를 생성하고 추적할 수 있는 훌륭한 솔루션을 제공합니다. 대부분의 웹 브라우저에는 무료 비밀번호 관리자가 포함되어 있으며 1password 와 같은 유료 서비스도 있습니다. 하지만 모든 고객에게 비밀번호 관리자를 사용하도록 강요할 수는 없습니다. 고객이 연결하고 자동으로 개인 정보를 공유하는 23andMe와 같은 소셜 미디어 플랫폼 및 사이트에서 올바른 비밀번호 관행을 채택하지 않는 사용자는 그렇게 하는 사용자를 위험에 빠뜨릴 것입니다.


또한 비밀번호 관리자는 완벽하지 않습니다. 해커가 마스터 비밀번호를 알아내면 모든 것을 얻게 됩니다. 악의적인 링크를 클릭하고 자격 증명을 노출시키는 피싱 공격도 문제입니다. 요크 대학교 컴퓨터 공학과의 Siamak Shahandashti 박사는 다음 성명에서 이러한 취약점을 강조했습니다 .


“비밀번호 관리자의 취약점은 해커가 자격 증명을 추출하여 상업 정보를 손상시키거나 직원 정보를 침해할 수 있는 기회를 제공합니다. 비밀번호 관리자는 많은 민감한 정보의 문지기이기 때문에 비밀번호 관리자에 대한 엄격한 보안 분석이 중요합니다.


"우리의 연구에 따르면 악성 앱을 통한 피싱 공격의 가능성은 매우 높습니다. 피해자가 속아서 악성 앱을 설치하게 되면 해당 앱은 자동 완성 프롬프트에 합법적인 옵션으로 표시되어 성공할 가능성이 높습니다."


궁극적으로 비밀번호 관리자는 없는 것보다 낫고 보안을 유지하는 데 도움이 될 수 있습니다. 하지만 비밀번호 관리자를 사용하는 사용자도 사용자 계정이 상호 연결되고 개인 정보를 공유하는 방식으로 인해 23andMe 공격에 취약했습니다. 웹사이트 자체의 계정 액세스를 보호하려면 더 많은 조치를 취해야 합니다.


다단계 인증(MFA)은 어떻습니까?


로그인 보안을 강화하기 위해 많은 웹사이트에서는 다단계 인증(MFA)을 사용합니다. MFA에는 다양한 유형이 있으며, 가장 널리 사용되는 솔루션은 문자 메시지나 이메일로 임시 2FA(2단계) 비밀번호를 전송하여 사용자가 추가이지만 지루한 인증 단계를 수행하도록 하는 것입니다.


23andMe는 사용자에게 MFA를 제공하지 않았습니다. 그러나 설사 그랬더라도 문자 메시지와 이메일 기반 MFA 솔루션은 예전만큼 안전하지 않습니다. 대부분의 경우 이메일은 비밀번호로만 보호됩니다. 또한 해커가 SIM 교환을 통해 스마트폰을 제어하는 경우가 비교적 흔합니다. 실제로 최근 SEC 트위터 계정 해킹 사건 에서 이런 일이 일어났습니다.





연구원들은 또한 문자 메시지 기반 MFA가 해킹에 점점 더 취약하다는 데 동의합니다. 사이버 보안 회사 인 Proofpoint 에 따르면 다음과 같습니다.


보안업체 프루프포인트(Proofpoint) 연구원들은 보고서에서 “예상했던 것과는 달리 MFA(다단계 인증) 보호 기능을 갖춘 테넌트 사이에서 계정 탈취가 증가했다”고 밝혔다. "우리 데이터에 따르면 지난 해 손상된 모든 사용자 중 최소 35%가 MFA를 활성화했습니다."


이러한 취약점으로 인해 기업은 마이크로소프트처럼 이제 음성 또는 문자 메시지 인증을 사용하는 2단계 전략을 사용하지 말라고 경고합니다. Microsoft의 ID 보안 담당 이사인 Alex Weinert는 다음과 같이 말했습니다 .


“이러한 메커니즘[문자 메시지 기반 2FA 전략]은 PSTN(공개 교환 전화 네트워크)을 기반으로 하며 현재 사용 가능한 MFA 방법 중 가장 안전하지 않다고 생각합니다. MFA 채택으로 이러한 방법을 깨뜨리려 공격자의 관심이 증가함에 따라 이러한 격차 더욱 커질 것입니다. [… ”


YubiKey와 같은 물리적 보안 키는 어떻습니까?



Yubico의 Yubikey 와 같은 물리적 보안 키는 휴대폰이나 컴퓨터에 연결하는 소형 장치입니다. 이는 다중 요소 인증 프로세스에 추가적인 물리적 "요소"를 추가합니다. Google과 같은 많은 회사에서는 직원이 업무용 계정에 로그인할 때 Yubikey를 사용하도록 요구합니다. 사용자가 키를 연결하지 않으면 액세스할 수 없습니다.


물리적 보안 키는 강력한 보안 계층을 추가합니다. 그러나 조직이 커질수록 이러한 전략의 비용은 더 높아집니다. 열쇠 하나당 $50에서 $105까지 가격이 책정되어 대규모 조직의 모든 직원에게 Yubikey를 제공하는 것은 비용이 많이 듭니다. 또한 키 전송 및 교체에 따른 지연 및 관리 번거로움으로 인해 상당한 부담이 발생합니다.


그러면 수백만 명의 사용자가 있는 23andMe와 같은 공개 웹사이트가 있습니다. 공개 웹사이트나 소셜 미디어 플랫폼의 모든 사용자에게 50달러짜리 하드웨어 장치를 구매하도록 요구하는 것은 불가능합니다.


Cisco Duo와 같은 포괄적인 보안 솔루션은 어떻습니까?


Cisco Duo 및 기타 포괄적인 보안 서비스는 고품질 2FA(2단계 인증) 및 기타 인증 도구를 제공하여 비밀번호 이상의 로그인 보안을 강화합니다. 사용자는 전화 통화, 푸시 알림, 물리적 보안 키 등의 추가 단계를 통해 액세스를 확인합니다.


Duo와 같은 포괄적인 보안 서비스는 사용자 기반이 통제된 기업에 이상적입니다. 그러나 23andMe 또는 Facebook과 같은 웹사이트에서 수백만 명의 사용자를 위해 작동하도록 확장하는 것은 비용 측면에서 실용적이지 않습니다.


이유는 다음과 같습니다.


  • 확장 비용: Duo와 같은 종합 보안 서비스는 사용자당 요금이 부과됩니다. 수백만 개의 계정에 대해 비용을 청구하는 것은 비즈니스 관점에서 볼 때 실용적이지 않습니다.
  • 사용자 마찰: Duo의 다단계 인증은 일부 사용자, 특히 2FA에 익숙하지 않은 사용자를 단념시킬 수 있습니다.
  • 운영 복잡성: 수백만 개의 Duo 계정을 관리하려면 전용 인프라와 리소스가 필요합니다.


Google OTP와 같은 OTP 앱 솔루션은 어떻습니까?


출처: https://chrome.google.com/webstore/detail/authenticator/bhghoamapcdpbohphigoooaddinpkbai


Google Authenticator와 같은 2FA 솔루션을 의무화하면 23andMe 사용자를 보호할 수 있는 저렴한 방법이 될 수 있습니다. 그러나 Google OTP에는 몇 가지 중요한 취약점이 있다는 점에 유의하는 것이 중요합니다.

  • 피싱 공격: 공격자는 사용자 이름, 비밀번호, 일회성 코드를 훔치는 설득력 있는 가짜 로그인 페이지를 만들어 해커가 원격으로 계정에 액세스할 수 있습니다.
  • 사회 공학: 기만적인 전술은 사용자가 일회성 코드를 공유하거나 이를 노출하는 악성 코드를 다운로드하도록 유도할 수 있습니다.
  • 클라우드 백업 취약성: 많은 사용자가 인증 키를 저장하는 클라우드 기반 백업을 보유하고 있습니다. 해커는 클라우드 저장소 계정을 손상시켜 이 인증자 데이터에 액세스할 수 있습니다.
  • 사용자 마찰: Google Authentator에서는 사용자가 추가 앱을 다운로드하고 보안 키를 입력해야 합니다. 그런 다음 앱에 로그인할 때마다 임시 비밀번호를 앱에서 웹사이트로 전송해야 하므로 로그인 프로세스에 상당한 번거로움과 마찰이 추가됩니다.
  • 인증자 키 가로채기: 사용자에게 인증 키 코드를 전달하는 것이 취약점입니다. 해커가 이 코드를 가로채거나 어떤 식으로든 획득하면 전체 Google 인증 프로세스가 손상되고 원격 해커가 어디서나 계정에 액세스할 수 있습니다.


이러한 취약점에도 불구하고 Google Authenticator 및 기타 인증 앱은 비밀번호만 사용할 때보다 웹사이트 로그인 보안을 크게 향상시킵니다. 이와 같은 인증 시스템이 있었다면 23andMe의 크리덴셜 스터핑 해킹을 막을 수 있었을 것입니다.


Invysta처럼 로그인 장치 자체에 액세스 제어를 연결하는 것은 어떻습니까?


23andMe 해킹을 방지하는 데 효과가 있었던 또 다른 솔루션이 있습니다. 이는 소프트웨어 기반의 기술입니다. 인비스타 테크놀로지 그룹 , 이는 23andMe 사용자의 로그인 장치를 즉시 물리적 보안 키로 변환하여 실제 키가 필요 없이 물리적 보안 키와 동일한 수준의 보안을 제공할 수 있었습니다.


Invysta는 각 사용자 로그인 장치에서 발견된 고유한 하드웨어 및 소프트웨어 식별자를 감지하고 해당 식별자를 사용하여 복제가 불가능한 "익명 액세스 키"를 생성하는 방식으로 작동합니다. 23andMe 사용자의 스마트폰이나 노트북을 물리적 보안 키로 변환함으로써 Invysta는 추가 하드웨어를 구매하거나 배포할 필요 없이 수백만 명의 사용자가 있는 웹사이트에 최고 수준의 액세스 보안을 제공하므로 원격 해커가 자격 증명을 수행하는 것이 불가능합니다. 스터핑 공격.


물론 Invysta는 아직 상대적으로 알려지지 않은 기술이며 대부분의 웹사이트 소유자는 이 기술이 존재한다는 사실을 알지 못합니다. 그러나 시간이 지나면 이 솔루션은 액세스 제어 분야에서 강력하면서도 비용 효율적인 전략으로 명성을 쌓을 수 있습니다.


마지막 생각들


이 기사에서는 23andMe가 고객에 대한 공격을 방지하는 데 도움이 될 수 있는 다양한 로그인 액세스 제어 솔루션을 살펴보았습니다. 하지만 이러한 솔루션 중 일부가 현재 작동한다고 해서 앞으로도 계속 작동할 것이라는 의미는 아닙니다.


23andMe와 같은 서비스에서 DNA 및 인종 데이터를 포함하여 우리 자신과 가족에 대한 더 많은 세부 정보를 온라인으로 공유함에 따라 지속적으로 발전하는 디지털 보안 영역이 그 어느 때보다 중요해졌습니다. 실제로 이것은 더 이상 우리의 재정적 삶을 보장하는 것만이 아닙니다. 이는 증오 범죄, 은밀한 개인 정보 침해 및 기타 무서운 취약성으로부터 우리 가족을 안전하게 보호하는 것입니다.


이러한 위험이 앞으로 몇 년 동안 계속해서 증가하고 변화함에 따라 더 많은 사이버 보안 솔루션이 시장에 나타날 것으로 예상됩니다. 이러한 새로운 기술을 조기에 구현함으로써 조직은 23andMe가 최근 겪었던 재정적, 평판, 물리적 안전 피해를 피할 수 있습니다.