해커들의 새로운 타깃, 패스워드 매니저
패스워드 매니저(Password Manager)는 인터넷 사용자들의 온라인 생활을 질서 있게 유지하는 데 매우 효과적인 방법 중 하나입니다. 1Password, Dashlane, Bitwarden과 같은 인기 있는 서비스들은 패스워드를 저장하고 생성하며, 로그인 정보를 기억하는 데 사용될 수 있어요.
하지만 이러한 플랫폼으로 패스워드가 안전하다고 생각할 수 있지만, 사이버 범죄자들은 패스워드 매니저를 해킹하고 디지털 정보에 접근하는 방법에서 더욱 정교해지고 있습니다.
패스워드 매니저 공격 증가 추세
최근 사이버 보안 회사인 Picus Security의 보고서에 따르면, 2024년에 패스워드 매니저에 대한 사이버 공격이 전년도보다 3배 더 많이 발생했다고 합니다.
Red Report에 자세히 설명된 이 연구는 또한 연구된 100만 개의 악성 코드 변종 중 25%가 패스워드 매니저 또는 로그인 정보를 저장할 수 있는 웹 브라우저와 같은 다른 패스워드 저장 방법을 표적으로 삼았다고 언급했습니다.
Picus Security는 언론 발표에서 “사상 처음으로 패스워드 저장소에서 자격 증명을 훔치는 것이 MITRE ATT&CK Framework에 나열된 상위 10가지 기술에 포함되었습니다.”라고 밝혔습니다. “이 보고서는 이러한 상위 10가지 기술이 2024년의 모든 악성 행위의 93%를 차지했다는 것을 보여줍니다.”
해커들의 새로운 공격 방식: SneakThief
Picus Security는 사이버 공격을 분류하기 위해 MITRE ATT&CK Framework를 사용합니다. Picus는 해커들이 “SneakThief”라고 부르는 다단계 사이버 공격 방법을 개발했다고 판단했습니다. 이는 “증가된 은밀성, 지속성 및 자동화”를 수반합니다. 해커들은 탐지되지 않고 데이터를 수집하기 위해 “12개 이상의 악성 행위”를 수행합니다. Picus는 이 방법을 “완벽한 강탈”이라고 부릅니다.
Picus Security의 공동 창립자이자 Picus Labs의 부사장인 Dr. Suleyman Ozarslan은 성명에서 “위협 행위자들은 메모리 스크래핑, 레지스트리 수집, 로컬 및 클라우드 기반 패스워드 저장소 손상 등 정교한 추출 방법을 활용하여 공격자에게 왕국에 대한 열쇠를 제공하는 자격 증명을 얻고 있습니다.”라고 말했습니다.
패스워드 매니저 사용자들을 위한 보안 강화 팁
Ozarslan은 패스워드 매니저 사용자들에게 기본 패스워드 저장 방법과 함께 다단계 인증(Multi-Factor Authentication)을 활용할 것을 권장합니다. 또한, 특히 패스워드 매니저에 저장되어 있는 경우 패스워드를 재사용하지 말 것을 제안합니다.
사이버 보안 공간에서 인공지능(AI, Artificial Intelligence)이 빠르게 성장하는 추세이지만, Red Report는 2024년에 사이버 범죄자들이 AI를 사용하는 데 있어 눈에 띄는 증가가 없었다고 언급했습니다.
LastPass 대안으로 고려할 만한 패스워드 매니저
패스워드를 안전하게 보호하는 데 있어 LastPass는 최고의 패스워드 매니저 중 하나였습니다. 그러나 최근 일련의 높은 수준의 보안 사고로 인해 많은 사람들이 LastPass를 덜 신뢰하게 되었습니다.
LastPass의 대안을 찾고 있다면, 1Password와 Bitwarden을 고려해 볼 수 있습니다. 1Password는 구독 서비스로만 제공되지만, Bitwarden은 매우 훌륭한 무료 버전을 제공합니다. 패스워드 매니저를 사용하기 위해 연간 요금을 지불하고 싶지 않다면, Bitwarden이 훌륭한 선택입니다.