[보안뉴스 이상우 기자] 우리 주변에서 자신의 ID와 비밀번호가 도용됐다는 사례를 흔히 찾아볼 수 있다. 가령, 자신이 하지도 않는 모바일 게임에서 미리 등록해둔 간편결제수단을 이용해 게임 내 재화를 구매했다거나, 오랜 기간 접속하지 않았던 포털 사이트 계정이 스팸 메일 및 광고 쪽지 발송에 쓰였다는 사례도 쉽게 볼 수 있다.  

해킹에 의한 유출 

SQL 삽입(SQL Injection) 기법이 많이 쓰인다 

웹사이트는 사용자가 데이터를 입력하기 위한 여러 양식이 존재한다. 예를 들면 로그인 시 입력하는 ID 및 비밀번호 창이나 회원가입 시 각종 정보를 입력하는 칸 등이며, 웹 브라우저 주소 표시줄 역시 웹사이트의 폴더 경로를 및 파일을 표시하는 데 쓰일 수 있다. 사이버 공격자는 이런 양식을 자신이 원하는 SQL 명령어를 입력하는데 악용하고, DB 내에 있는 회원 정보나 ID 및 비밀번호 데이터를 외부로 전송하도록 제어할 수 있다. 

대책안

1) 관리자는 부적절한 명령어가 입력되지 않게 검증해야 한다. 

2) 웹방화벽을 구축하여 외부인가 받지 않는자의 명령어 삽입을 차단

사회공학적 기법에 의한 유출

피싱계정이 정보 탈취를 위해 자주 사용하는 사회공학적 기법이다.

사이버공격자는 실제와 유사하게 가짜 사이트를 제작하고 사용자가 여기에 접촉하도록 유도하여

ID와 패스워드를 입력을 안내하고 나아가 2차 인증수단까지 안내를 한다. 

대책안 

1) 사용자는 알 수 없는 상대방이 보낸 이메일의 URL을 클릭하지 않도록 유의한다. 

무차별 대입과 사전 대입 공격

가능한 모든 비밀번호 조합을 무작위로 입력해 찾아내는 방법이다. 

대책안

1) 비밀번호를 길게하고 복잡 다단하게 정하여 운영을 하는 것이 좋다.  

해킹 없이도 이뤄지는 크리덴셜 스터핑 공격 

이미 유출된 ID와 패스워드를 다른 사이트에 중복해서 사용하는 경우에 해당한다.   

대책안

1) ID와 비밀번호 보호 위해선 관리 도구 사용하고 2단계 인증 설정해야 한다. 

원본출처 :  [보.알.남] ID와 비밀번호 노리는 사이버 공격, 어떤 게 있을까 (boannews.com)