자동 비밀번호 해킹 머신 ‘아틀란티스 AIO’ 확인…위협과 대응책

2025-03-31     조민수 기자
이미지=애브노멀 시큐리티

[아이티데일리] 수십억 건의 비밀번호가 유출됐으며, 그중 8,500만 건이 현재 진행 중인 공격에 사용되고 있다는 보도가 있었다. 이는 본지에서도 <패스워드(비번) 39억 개, 정보 탈취형 ‘인포스틸러’ 멀웨어에 도난당했다>는 제목으로 지난 3월 10일 보도했다. 또한, 해커들이 세션 쿠키를 이용해 2단계 인증(2FA)을 우회할 가능성이 높기 때문에, 2FA만으로는 완벽한 보안이 보장되지 않을 수도 있다.

이러한 위협이 심각해지는 가운데, ‘아틀란티스 AIO(Atlantis AIO)’라는 이름의 자동 해킹 머신이 수백만 개의 도난당한 비밀번호를 활용해 이메일, VPN, 스트리밍 서비스, 심지어 음식 배달 계정까지 무차별적으로 침해하고 있다는 보고서가 나왔다고 보안뉴스, 포브스 등이 전했다. 이는 지금 당장 비밀번호 사용을 중단해야 한다는 메시지이자 경고라고 한다. ‘위협 인텔리전스’ 보고서는 애브노멀 시큐리티(Abnormal Security)가 발표한 것으로, 간추린 내용은 홈페이지에도 실렸다.

유출되거나 도난당한 인증 정보를 대량으로 입력해 로그인 시도를 반복하는 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격은 새로운 수법이 아니다. 그러나 이는 매우 위험한 공격 방식이며, 그 위협이 점점 커지고 있다.

공격자들은 지속적으로 새로운 도구를 개발하고 있다. 예를 들어, 지난 3월 15일 보고서에 따르면, 랜섬웨어 그룹 블랙 배스타(Black Basta)의 내부 채팅 로그가 유출되었는데, 그 과정에서 무차별 대입(Brute Force) 공격을 자동화하는 프레임워크가 사용되었음이 밝혀졌다. 이 공격은 계정에 대해 수많은 사용자 이름과 비밀번호 조합을 반복 시도해 정답을 찾으면 침입하는 방식이다. 특히, 다크웹의 마켓플레이스나 해킹 포럼에서 쉽게 구할 수 있는 도난당한 인증 정보 리스트를 이용해, 동일한 비밀번호를 사용하는 다른 여러 계정에 무차별적으로 접근할 수 있다.

애브노멀 시큐리티의 ‘위협 인텔리전스 보고서’에 따르면, ‘아틀란티스 AIO’라는 자동 해킹 머신이 이러한 크리덴셜 스터핑 공격을 실행하고 있다.

분석을 담당한 애널리스트는 게시글에서 “아틀란티스 AIO는 사이버 범죄자들의 강력한 무기가 되고 있으며, 수백만 건의 도난된 인증 정보를 빠르게 연속적으로 테스트할 수 있다”고 썼다. 특히 이 해킹 머신의 강점은 미리 설정된 모듈을 통해 핫메일, 야후, AOL, GMX 등의 이메일 서비스뿐만 아니라 스트리밍 서비스, VPN, 금융 기관, 음식 배달 서비스까지 자동으로 공격할 수 있다는 점이다. 보고서에 따르면 아틀란티스 AIO는 140개 이상의 플랫폼을 대상으로 공격이 가능하다.

아틀란티스 AIO는 클라우드 기반 서비스 및 다양한 플랫폼을 목표로 한 사전 설정된(프리셋) 모듈을 제공하기 때문에, 사이버 범죄자들이 최소한의 노력으로 대규모 크리덴셜 스터핑 공격을 실행할 수 있다. 아틀란티스 AIO의 핵심 위협은 바로 이 모듈화된 공격 방식이다.

첫째, 이메일 공격 모듈은 인기 이메일 플랫폼 계정을 신속하게 탐색할 수 있다. 도난된 비밀번호를 입력하는 것뿐만 아니라, ‘수신함 장악’ 기능을 통해 탈취한 계정을 추가해 악용할 가능성도 높다. 다음으로, 무차별 대입 공격 모듈은 널리 사용되는 보안성 약한 비밀번호 및 사용자 이름 조합을 빠르게 테스트한다. 비밀번호가 유출되지 않았더라도 보안이 취약한 계정을 뚫을 가능성이 높다. 세 번째, 복구 모듈은 캡차(CAPTCHA)와 같은 보안 기능을 우회하고, 자동화된 계정 정보 수집 및 복구 기능을 활용해 여러 계정을 한 번에 탈취할 수 있다.

보고서는 모든 계정에 대해 비밀번호 관리 프로그램(Password Manager)을 사용해 강력하고 고유한 비밀번호를 설정하고, 2단계 인증(2FA)을 모든 계정에서 활성화하는 것이 이런 공격 위험을 크게 줄이는 방법이라고 권고했다. 또한, 다른 계정에서 동일한 비밀번호를 사용하지 않는 것이 가장 중요한 보안 수칙이라고 강조했다.

비밀번호를 대체할 인증 방식의 필요성도 제기됐다. 이와 관련해 ‘패스키(Passkey)’ 기술의 보급도 빠르게 진행되고 있다. 보고서는 “향후 2년 이내에 취약한 비밀번호 기반 시스템이 패스키로 대체될 것”이라고 예측했다. 그러나 포브스는 기업과 소비자들이 이를 본격적으로 수용하는 속도는 여전히 더딘 상태라고 지적한다.

그럼에도, 보고서는 비밀번호 중심 보안 시스템이 얼마나 심각한 위기에 처해 있는지를 누차 강조하고 있다. 그 사례로 지난해의 경우 95%의 조직이 딥페이크 관련 보안 사고를 경험했으며, 49%의 기업이 지난 1년간 보안 침해를 당했고, 그중 87%가 ID 보안 취약점과 관련됐다고 지적했다.

보안 침해의 주요 원인으로는 인증 정보(비밀번호)의 불법 사용(47%), 접근 권한의 오남용(41%), 소셜 엔지니어링 공격(36%), 2FA 우회 공격(35%) 등이었다.

한편, 보고서는 긍정적인 현상으로, 처음으로 비밀번호 없는 인증(FIDO 기반 인증, 패스키, 물리적 보안 키, 디바이스 인증 등)이 큰 관심을 받고 있으며 응답자의 46%가 이미 이를 사용하고 있다고 밝혔다.