1225 Journal of The Korea Institute of Information Security & Cryptology ISSN 1598-3986(Print) VOL.23, NO.6, Dec. 2013 ISSN 2288-2715(Online) http://dx.doi.org/10.13089/jkiisc.2013.23.6.1225 피싱및파밍공격에의한다수의패스워드유출요인에관한연구 * 유홍렬, 홍모세, 권태경 연세대학교정보대학원 A Study of Multiple Password Leakage Factors Caused by Phishing and Pharming Attacks* Hong Ryeol Ryu, Moses Hong, Taekyoung Kwon Graduate School of Information, Yonsei University 요 약 오늘날많은인터넷서비스들은사용자를식별하고데이터를보호하기위해아이디와패스워드이용한인증을이용한다. 만약피싱이나파밍으로인해사용자의아이디와패스워드가탈취되고서비스권한이도용된다면 2차피해가발생할수있다. 본연구는피싱및파밍사이트에서아이디와패스워드를입력할때사용자의부주의로인해탈취될수있는요인들을연구했다. 특히사용자가패스워드관리를기억에의존하고, 무의식적인인증과정수행할때얼마나많은패스워드를유출할수있는지실험을통해확인했다. ABSTRACT In this paper, we studied threats and risks that users might enter their passwords without awareness onto phishing and pharming sites, and particularly showed that it was highly likely to leak the secret information of multiple passwords by user experiments. The novel methodology of verifying those threats and risks is the major contribution of this paper. We will extend this work for further verification of our findings. Keywords: Phishing, Pharming, Password, Authentication I. 서론 오늘날무선인터넷과스마트폰이보편화되었고이서비스들은개인, 가정, 직장에서생활화되었다. 많 접수일 (2013 년 10 월 15 일 ), 게재확정일 (2013 년 10 월 21 일 ) * 본연구는미래창조과학부및한국산업기술평가관리원의산업융합원천기술개발사업 ( 정보통신 )[10039180, 모바일환경하에서모바일인증과보안강화를위해직관적이며사용하기편하고안전한인간 - 컴퓨터상호작용 (HCI) 기반 Usable Security 원천기술개발 ] 과미래창조과학부및정보통신산업진흥원의대학 IT 연구센터지원사업 (NIPA-2013-H0301-13-1003) 의일환으로수행하였음. 주저자, ryeol@yonsei.ac.kr 교신저자, taekyoung@yonsei.ac.kr(corresponding author) 은서비스들이스마트폰과인터넷을통해이루어짐으로서클라우드서비스와같은서버나, 스마트폰과같은클라이언트에많은양의개인정보가저장되고있다. 최근개인정보의가치가부각되면서이것을탈취하려는다양한공격이이루어지고있으며특히, 사회공학을이용한공격이증가하고있다 [1]. 대표적인사회공학적공격으로피싱공격을들수있다. 국내외피싱사이트는 2010년부터 2013년까지꾸준히증가하고있다 [2]. 피싱에의해유출되는주요개인정보중하나는사용자의아이디와패스워드이다. 공격자는특정사이트의실제인증화면과동일한환경을만들어놓고사용
1226 피싱및파밍공격에의한다수의패스워드유출요인에관한연구 자로부터아이디와패스워드입력을유도한다. 이때사용자의아이디와패스워드가유출되는것은사용자가피싱에대한합리적인의심이나검증과정없이무의식적인인증과정이수행되기때문이다. 본논문은피싱 (Phishing) 및파밍 (Pharming) 공격에서아이디와패스워드가유출될수있는요인들을실험을통해분석한것이다. 특히소수의아이디와패스워드쌍이기억에의존하여관리되고, 사용자가합리적인의심없이인증절차를수행할때얼마나많은패스워드가유출될수있는지실험했다. II. 관련연구 관리가어렵기때문이다. 이로인해많은사람들이소수의패스워드를암기에의존하여관리한다. 또한사용자들은아이디와패스워드를이용한로그인과정을무의식적으로시도한다. 아이디와패스워드를이용한절차와인터페이스는매우정형화되어있어사용자에게익숙하기때문이다. 이와같은상황에서만약피싱및파밍공격에노출된다면아이디와패스워드를노출할가능성이높다. 특히불완전한기억에의존하는상태에서는다량의패스워드를노출할가능성이있다. 본논문은위와같은상황을가정하여 Fig.1. 과같은연구가설을도출했다. 2.1 피싱피싱은개인정보를취득하기위하여변조된웹사이트로사용자를유도하는대표적인사회공학적공격이다 [1]. 공격자는인터넷사용자를속이고개인정보를수집하기위한웹사이트를설계한다. 그리고사회공학적기법을이용한이메일또는문자메시지에웹사이트링크를담아전파한다. 만약사용자가공격자가준비한링크에접속하면, 실제웹사이트와유사하여정확하게구별할수없는웹사이트가나타난다. 인터넷사용자는해당웹사이트를정상적인사이트라고판단하고개인정보를입력하게되며입력된정보는공격자에게유출된다 [3]. 다수의계정 소수의아이디 / 패스워드쌍 기억에의존하는패스워드관리 무의식적인인증과정수행 Fig.1. Research model 피싱및파밍공격 다수의패스워드노출 패스워드노출 2.2 파밍파밍은기존의피싱공격을한단계발전시킨공격기법이다. 공격자는 DNS 취약점을이용해서인터넷사용자로하여금변조된웹사이트로이동하게한다. 피싱은정상 URL과비교하면변조된웹사이트라는것을인지할수있지만, 파밍은동일한 URL로접근해도변조된웹페이지로이동하기때문에사용자가위험을인지하기가어렵다 [2][4]. III. 연구가설많은인터넷사용자들은웹서비스를이용하기위해다수의웹사이트계정 (account) 을가지고있다. 하지만그에비해소수의아이디 (id), 패스워드 (password) 쌍을가지고있다. 계정의수에비해소수의아이디, 패스워드쌍을보유하는것은패스워드 IV. 실험설계및구현 4.1 측정변수및조작적정의 연구가설을통해서측정하고자하는변수들과, 측정을위한조작적정의를 Table 1. 과같이설정했다. Table 1. Measuring variables and operational definitions 변수 조작적정의를위한질의 계정의개수 얼마나많은사이트에가입되어있는가? 아이디개수 아이디의개수 ( 종류 ) 는몇개인가? 패스워드개수 패스워드의개수 ( 종류 ) 는몇개인가? 패스워드관리 { 암기, 브라우저자동저장, 파일저장, 기타 } 방법 인증과정수행피싱또는파밍을막기위한검증절차가 행태 존재하는가? 패스워드노출량몇개의패스워드를노출하는가?
정보보호학회논문지 (2013. 12) 1227 4.2 실험절차및구현 실험은 Fig.2. 와같이크게 사전설문, 패스워드노출실험, 사후인터뷰 순서로진행된다. 또한패스워드를노출하기위한실험은 파밍사이트유도, 로그인과정수행유도, 실행종료 로나눠진다. 사전설문 패스워드노출실험 파밍사이트유도 로그인수행유도 사후인터뷰 피실험자가입력하는아이디와패스워드는데이터베이스에저장되도록설계했다. 이것은실험결과를확인하기위함이다. 4.2.3 사후인터뷰실험이종료된직후저장된아이디와패스워드파일을피실험자가직접열람하도록했으며, 그순간관찰자는열람하지않았다. 기록된파일에는입력된아이디, 패스워드, 시도횟수, 수행시각이담겨있다. 이파일을바탕으로피실험자와인터뷰를진행했으며, 인터뷰를바탕으로실험결과를도출했다. 저장된파일은피실험자로하여금스스로삭제할수있도록설계하여, 인터뷰가종료된직후피실험자에의해파기되었다. 실험종료 V. 실험결과 Fig.2. Experiment process 4.2.1 사전설문준비된파싱사이트는총 4개 ( 포털 2개, 쇼핑몰 1 개, SNS 1개 ) 이다. 이중피실험자들을대상으로사이트이용빈도를조사했다. 기억에의존하는암호관리의위험성을증명하려면기억의불확실성을높여야한다. 따라서피실험자가자주이용하지않는사이트를실험대상으로선택했다. 4.2.2 패스워드노출실험파밍사이트를재현하기위해서유명웹사이트 4개 ( 페이스북, 트위터, 구글, G마켓 ) 를실제웹페이지와동일하게제작, 운영했다. 실험을위한 PC의호스트파일을변조함으로서실제웹사이트에대한요청을준비된파밍사이트가응답하도록했다. 피실험자의패스워드를자연스럽게유출하기위해, 실험목적과무관한수행과제를부여하여로그인을유도했다. 또한올바른아이디, 패스워드를입력해도로그인이실패하도록설계하여로그인을재시도하도록유도했다. 만약로그인을재시도하면실험은계속진행되나, 피실험자가스스로로그인시도를중단하거나, 비밀번호찾기 기능을수행하는경우에는실험을종료했다. 피실험자들은남성 37명, 여성 28명으로총 65명이며평균나이 26.5세, 전공과무관한대학생및대학원생을대상으로실험했다. 5.1 계정, 아이디, 패스워드의수 Table 2. 의결과와같이피실험자들은평균 75.6 개의사이트에가입하고있었으며, 이계정들을평균 4개의아이디와 4.1개의패스워드만으로이용하고있었다. Table 2. Number of account items 가입된사이트의개수 ( 평균 ) 75.6 아이디보유개수 ( 평균 ) 4.0 패스워드보유개수 ( 평균 ) 4.1 Table 3. 의결과와같이피실험자가가진계정의수가많다고해서아이디나패스워드의수가많지는않았다. 하지만아이디를많이보유한피실험자일수록패스워드의수가많아지는경향을보였다. Table 3. Correlation coefficient [ 계정-아이디개수 ] 의상관계수 -0.09 [ 계정-패스워드개수 ] 의상관계수 0.10 [ 아이디-패스워드개수 ] 의상관계수 0.41
1228 피싱및파밍공격에의한다수의패스워드유출요인에관한연구 5.2 패스워드의관리방법 Table 4. Password management methods 1 관리함 ( 파일, 브라우저, 도구이용 ) 7.69% 2 관리하지않음 ( 암기에의존 ) 92.31% 피실험자들의대다수는 Table 4. 의결과처럼암기에의존하여패스워드를관리하고있었다. 특별한관리방법없이암기에의존하는피실험자들은 Fig.3. 의결과와같이유출된패스워드수의평균과최대값이상대적으로높음을알수있다. Fig.3. Number of leaked passwords 5.3 인증과정수행관찰 피실험자들은준비된실험사이트에서평균 5.8번의로그인을시도했다. 이것은최초로그인수행이포함된수치이며, 이것을제외해도인증과정을여러번재시도했음을확인할수있다. 실험후인터뷰에서대다수의피실험자들은로그인실패이후에도이것이파밍사이트임을의심하지못했다고말했다. 5.4 패스워드노출량 Table 5. Experimental results 로그인시도횟수 ( 평균 ) 5.8 유출된패스워드개수 ( 평균 ) 2.2 [ 로그인시도횟수-유출된패스워드개수 ] 의상관계수 0.50 평균 5.8번의로그인시도에서유출된패스워드의개수는평균 2.2개다. 나머지 3.6개는동일한패스워드를재입력했거나오타를입력한경우이다. 피실험자 들이보유한패스워드가평균 4.1개이므로 54% 의높은비율로유출됨을알수있었다. 또한인증시도횟수가높을수록더많은패스워드가유출되는것으로나타났다. 실험후인터뷰에서, 유출된또다른패스워드는피실험자가다른사이트에서실제이용하고있는패스워드라고밝혔다. 이것은공격자가피해자의노출된패스워드를활용한다면, 피해자가이용중인또다른웹사이트에접근할수있음을말해준다. VI. 결론실험을통해피싱및파밍공격시사용자들이보유한패스워드가얼마나노출되는지를확인했다. 사용자들은피싱및파밍사이트에대한합리적인의심과검증절차없이, 사이트에서무의식적으로아이디와패스워드를입력하고있었다. 또한암기에의존한패스워드는불확실한기억을야기하고, 무의식적인시도와결합하여다수의패스워드를노출하는결과를낳았다. 이에대한대책으로로그인과정에서사용자의인식을개선하는연구가필요하며, 인증시도횟수의한계를설정하는합리적인연구가필요하다. 피싱및파밍사이트를통해노출된아이디와패스워드쌍을조합하면다른사이트에서악용될소지가있다. 그리고그피해가드러나지않는한유출사실은알기어렵다. 파밍은실제사이트와동일한인터넷주소에서구현되므로사용자들의의심을피할수있으며, 무의식적으로입력하는사용자들의행동특성상다양한보안기법들이요구된다. References [1] D. Rachna, J.D. Tygar and M. Hearst, Why phishing works, Proceedings of the SIGCHI conference on Human Factors in Computing, pp. 581-590, Apr. 2006 [2] S.H. Kim, S.H. Lee and S.H. Jin, Active Phishing Attack and its Countermeasures, Electronics and Telecommunications Trends, vol. 28, no. 3, ETRI, 2013. [3] D. Rachna and J.D. Tygar, The battle against phishing: Dynamic security skin, Proceedings of the Symposium on Usable Privacy and Security, pp. 77-88,
정보보호학회논문지 (2013. 12) 1229 Jul. 2005. [4] S. Gastellier-Prevost and M. Laurent, Defeating pharming attacks at the client-side, 2011 5th International Conference on Network and System Security, IEEE, pp. 33-40, Sept. 2011. < 저자소개 > 유홍렬 (Hong Ryeol Ryu) 학생회원 2013 년 2 월 : 서울과학기술대학교산업공학전공학사 2013 년 3 월 ~ 현재 : 연세대학교정보대학원석사과정 < 관심분야 > HCI, Usable Security, Social Engineering 홍모세 (Moses Hong) 학생회원 2010 년 2 월 : 한국교통대학교컴퓨터공학과학사 2013 년 3 월 ~ 현재 : 연세대학교정보대학원석사과정 < 관심분야 > 사회공학, 보안정책기획 권태경 (Taekyoung Kwon) 종신회원 1992 년 2 월 : 연세대학교컴퓨터과학과학사 1995 년 2 월 : 연세대학교컴퓨터과학과석사 1999 년 8 월 : 연세대학교컴퓨터과학과박사 1999 년 ~2000 년 : U.C. Berkely Post-Doc. 2001 년 ~2013 년 8 월 : 세종대학교컴퓨터공학과교수 2007 년 ~2008 년 : Univ. Maryland at College Park 교환교수 2013 년 9 월 ~ 현재 : 연세대학교정보대학원부교수 < 관심분야 > 암호프로토콜, 네트워크프로토콜, 센서네트워크보안, HCI 보안등