Hack for Hire

디지털 코인으로 인한 익명성이 강화되고 다크웹 등 암시장이 확대되면서, 해커의 활동은 금전적인 이득을 위해 더욱 대담해 지고 있습니다. 돈만 주면 무엇이든지 하는 해킹 서비스(Hack for Hire) 또한 전문적이며 조직화 되어 가고 있습니다.

ACM (Association for Computing Machinery)은 지난해 10월, 해커들을 고용하여 미리 만들어 놓은 가상의 계정을 해킹하도록 요청했으며, 어떻게 해커들이 접근하는지에 대한 연구를 진행했습니다.

 

- 대부분의 해킹 서비스는 러시아어로 광고를 하고 있으며, 러시아어로 거래

- 비용은 메일계정 서비스 업체의 보안수준에 따라 다르며, 건당 23달러에서 500달러 정도

- 대부분의 공격방식은 사용자에 피싱메일을 발송하여 위장된 사이트로 클릭을 유도

- 사용자를 유도하기 위한 발신지로 구글, 개인, 정부, 은행 등으로 위장

- 계정리셋 요청을 통한 계정 탈취, 법원 출두 등 긴급한 내용을 통해 악성코드 다운로드 공격수행

- 사용자가 링크를 통해 계정을 리셋할 경우, SMS 기반의 2FA를 우회할 수 있음

 

해킹 실험결과에서와 같이, 현재 많이 패스워드 방식을 보완하기 위해 많이 사용하고 있는 패스워드와 SMS통한 인증기법 또한 해커에 의해 충분히 뚫릴 수 있음을 보여주고 있습니다. Secret Key나 바이오 정보를 통한 인증방식 등 보다 안전한 인증방식으로 전환할 필요가 있습니다.   

 

※ 관련기사: Hack for Hire (https://queue.acm.org/detail.cfm?id=3365458)

※ IBM Cloud Identity: 싱글사인온(SSO), 다중 요소 인증, ID 관리를 통해 보안성을 강화하고 생산성을 향상시킵니다. 다수의 커넥터가 함께 제공되어 SaaS 앱을 빠르게 이용하고, 사전 작성된 템플리트로 사내 앱을 손쉽게 통합하고 통제할 수 있습니다.