최근 브라우저 자동 로그인 기능을 악용한 계정정보 탈취 범죄가 급증하고 있다. 자동 로그인된 PC가 악성코드에 감염됐거나 공용 PC에서 자동 로그인 기능을 사용할 경우 개인정보 유출 및 피해가 발생할 수 있다. 따라서 사용자는 자동 로그인 기능을 비활성화하고 계정정보 유출에 주의를 기울여야 한다.

한국인터넷진흥원(KISA)은 5일 보안공지를 통해 브라우저 자동 로그인 기능을 악용한 계정 탈취 범죄가 급증하고 있다고 밝히며, 자동 로그인 기능 비활성화 및 사용자 주의를 당부했다.

해당 위협에 영향받는 브라우저는 △구글 크롬(Google Chrome) △MS 엣지(Microsoft Edge) △모질라 파이어폭스(Mozilla FireFox)이다. KISA에서 권고하는 대응방안은 다음과 같다.

o 구글 크롬(Google Chrome)

  - 크롬 브라우저 오른쪽 상단에서 프로필 비밀번호 선택

  - '설정' 선택 후 ‘자동 완성 및 비밀번호’ 메뉴의 ‘Google 비밀번호 관리자’ 접속

  - 해당 페이지의 ‘설정’에서 ‘자동으로 로그인’ 옵션을 ‘사용 안 함’으로 변경

 o MS 엣지(Microsoft Edge)

  - 엣지 브라우저 오른쪽 상단에서 '더보기' 클릭 후 '설정' 선택

  - 프로필 클릭 후 오른쪽에서 '암호' 선택

  - ‘자동으로 암호 저장’, ‘암호 및 암호 자동 채우기’ 토글 버튼 비활성화

 o 모질라 파이어폭스(Mozilla FireFox)

  - 파이어폭스 브라우저 오른쪽 상단에서 '설정' 선택

  - '개인정보 및 보안' 메뉴 클릭 후 비밀번호 항목으로 이동

  - ‘비밀번호 저장 요청’ 해제

일례로 지난 2월 국가정보원은 국가·공공기관 정보 서비스 이용자 1만 3,000개 가량의 개인정보가 다크웹에 유출됐다고 밝혔다. 해당 공격은 사용자의 아이디와 비밀번호 등 개인정보를 탈취하는 악성코드인 인포스틸러(Infostealer)를 활용한 것으로 드러났다. 공격자는 각종 콘텐츠 및 파일이 오가는 웹하드, P2P 사이트, 블로그 등에 인포스틸러를 은닉한 불법 소프트웨어를 유통하는 방식으로 악성코드를 퍼트렸다. 인포스틸러를 활용해 사용자의 아이디, 패스워드 등 개인정보를 탈취한 것이다.

이때 자동 로그인 기능을 사용할 경우 각별한 주의가 필요하다. 이미 로그인된 계정의 경우 공격자가 더 빠르게 쿠키 및 세션 등 계정정보를 탈취할 수 있기 때문이다.

공격자가 인포스틸러로 탈취한 개인정보를 토대로 크리덴셜 스터핑(Credential Stuffing) 공격을 시도할 수 있다. 크리덴셜 스터핑은 유출된 아이디와 비밀번호를 여러 웹사이트나 애플리케이션에 대입해 로그인되면 개인정보나 자료를 탈취하는 공격 기법이다. 편리하다는 이유로 사이트마다 똑같은 아이디와 패스워드를 사용했을 경우 연쇄적인 피해를 볼 수 있다.

따라서 계정정보 탈취를 예방하기 위해서는 자동 로그인 기능을 비활성화하고 사이트마다 다른 아이디와 비밀번호를 사용해야 한다. 더불어 2차 인증을 사용하는 것이 안전하다. 만일 해외에서 로그인을 시도했다는 알림을 받거나, 여러 웹사이트에서 유출된 아이디와 비밀번호로 계속해서 피해가 발생하는 경우 계정정보 유출을 의심해 볼 수 있다. 자주 사용하는 계정의 정보 유출 여부는 개인정보보호위원회와 KISA에서 운용하는 ‘털린 내 정보 찾기 서비스’를 통해 확인할 수 있다. (출처:보안뉴스)