계정 탈취(ATO)란 무엇인가?

우리는 지금 온라인 뱅킹, 쇼핑, 소셜 미디어 등 모든 것을 디지털 환경에서 처리하는 시대에 살고 있습니다. 이러한 디지털 전환은 편리함을 가져다주었지만, 동시에 우리의 소중한 자산과 정보가 노출되는 ‘사이버 위협’이라는 그림자도 함께 따라왔습니다.

수많은 사이버 공격 중에서 오늘 우리가 주목할 것은 바로 ATO(Account Takeover), 즉 ‘계정 탈취‘ 공격입니다. ATO는 단순히 비밀번호가 도난 당하는 것을 넘어, 공격자가 온라인 계정 통제권을 완전히 장악하여 금전적 손실과 심각한 사생활 침해를 유발하는 가장 흔하고 위험한 유형의 사기입니다.

 

 

계정 탈취(Account Takeover, ATO)란?

ATO는 공격자가 합법적인 사용자인 것처럼 가장하여 온라인 계정에 무단으로 액세스하고 해당 계정의 통제권을 획득하는 행위입니다. 공격자는 주로 계정을 장악한 후, 비밀번호나 연락처 정보를 변경하여 원래 소유자가 접근할 수 없게 만들고 해당 계정을 악의적인 목적으로 사용하기 시작합니다.

 

 

주요 공격 목표와 피해 사례

공격자가 ATO를 시도하는 목적은 다양하지만, 주로 금전적 이익이나 정보 탈취에 있습니다. 2023년 기준, ATO가 발생한 계정의 51%는 소셜미디어 계정이었고 32%는 금융 계정으로 밝혀졌습니다.

• 소셜미디어 계정: 개인 소셜 계정을 탈취하여 사용자 신분을 도용하거나 계정의 팔로워, 정보를 악용합니다.
• 금융 계정: 은행 계좌, 신용카드 정보에 접근하여 무단으로 자금을 이체하거나 도용합니다.
• 온라인 쇼핑/여행: 온라인 쇼핑몰 계정을 탈취하여 부정 구매를 하거나, 항공사 및 호텔의 마일리지 또는 로열티 포인트를 훔쳐 사용합니다.
• 정부/기업 계정: 민감한 개인 정보나 기업 기밀 정보에 접근하고, 탈취한 계정을 피싱 공격이나 랜섬웨어 유포 등 추가적인 사이버 공격의 발판으로 사용합니다.

 

 

ATO 공격은 어떻게 이루어지나요?

ATO 공격은 고도로 자동화된 봇과 교묘한 사회 공학 기법을 결합하여 이루어집니다. 다음은 공격자들이 주로 사용하는 대표적인 ATO 공격 방식입니다.

 

크리덴셜 스터핑 (Credential Stuffing)

가장 흔한 ATO 방식입니다. 대규모 데이터 유출로 확보한 사용자 이름과 비밀번호 목록을 가지고, 봇(Bot)을 이용해 여러 웹사이트에 자동으로 로그인을 시도하는 공격입니다. 대부분의 사용자가 여러 사이트에 동일한 ID/PW 조합을 재사용 한다는 취약점을 노립니다. 단 하나의 웹사이트에서 정보가 유출되어도, 수많은 다른 계정이 위험에 처하게 됩니다.

무차별 대입 공격 (Brute Force Attack)

공격 대상 계정의 사용자 이름/이메일을 확보한 후, 봇을 이용하여 가장 흔하게 사용되는 비밀번호 조합(예: 123456, password 등) 또는 가능한 모든 문자열을 체계적으로 대입하여 로그인에 성공할 때까지 시도하는 방식입니다.

피싱 및 사회 공학 (Phishing and Social Engineering)

공격자가 은행이나 유명 기업처럼 보이는 가짜 이메일, 문자 메시지, 웹사이트를 만들어 사용자를 속이는 방식입니다. 사용자는 속아서 가짜 로그인 페이지에 자신의 ID와 비밀번호를 직접 입력하게 되고, 이 정보는 곧바로 공격자에게 전달됩니다.

맬웨어 공격 (Malware Attack)

사용자의 장치에 키 로거(Keylogger)와 같은 악성 소프트웨어를 몰래 설치하여, 사용자가 키보드로 입력하는 모든 정보(로그인 자격 증명 포함)를 실시간으로 가로채는 방식입니다.

 

 

ATO 공격으로부터 계정을 지키는 방법

ATO 공격으로부터 계정과 정보를 지키기 위해서는 개인 사용자 뿐만 아니라 서비스 제공 기업의 노력 또한 필요합니다.

 

 

사용자의 노력

다중 인증(MFA)을 사용하면 안전하게 방어할 수 있습니다. 또한 각 사이트마다 서로 다른 비밀번호를 사용하고 다양한 조합을 활용하여 비밀번호를 관리하는 것이 중요합니다. 출처가 불분명한 링크나 첨부파일을 클릭하지 않도록 주의하고 로그인 기록을 주기적으로 확인하여 의심스러운 활동이 있는지 확인하는 것도 필요합니다.

기업의 노력

봇 관리 솔루션, 이상 행동 탐지 시스템, 로그인 시도 제한, 제로트러스트 보안 모델 등을 도입하여 고객의 개인정보를 보호해야 합니다.

 

 

계정 탈취(ATO)는 더 이상 뉴스에서나 볼 수 있는 먼 이야기가 아닙니다. 정교하게 자동화된 공격 방식은 매일 수많은 계정을 노리고 있습니다. 금전적 피해 뿐만 아니라 개인 정보 유출, 브랜드 평판 손상 등 그 피해는 상상 이상입니다. 개개인이 강력한 보안 습관으로 위협에 대비하는 것이 중요합니다.