포스팅 내용

국내외 보안동향

Reddit, 데이터 탈취 공격 발생

Reddit Announces Security Breach After Hackers Bypassed Staff's 2FA


Reddit에서 데이터 탈취 공격이 발생했습니다. 


공격자는 이중인증(2FA)를 우회해 몇몇 직원들의 계정에 침입 후 이메일 주소, 로그, 오래고 솔티드, 해싱 된 패스워드를 포함한 2007년 데이터베이스 백업등을 훔친 것으로 나타났습니다.


이 해킹공격은 6/14 ~ 6/18에 일어났으며, Reddit은 그 다음날인 6/19에 이 사실을 발견했다고 밝혔습니다.


Reddit은 해커가 서버에서 “쓰기 권한”은 가질 수 없었다고도 밝혔습니다.


“그들은 Reddit의 정보를 변경할 수 는 없었습니다. 우리는 그 이후부터 모든 중요 정보 및 API 키들을 잠그고 회전시키고, 우리의 로깅 및 모니터링 시스템을 강화시켰습니다.”



해커, 오래 된 패스워드 훔쳐가


하지만 해커는 “읽기 권한”을 가질 수 있었습니다. 그는 2007년 5월부터의 오래 된 Reddit 사이트 백업본을 다운로드 한 것으로 나타났습니다.


Reddit은 이 백업에는 2005년 사이트 런칭 때부터 2007년 5월까지 사이트에서 활동했던 사용자들의 데이터가 포함 되었다고 밝혔습니다.


“이 백업에 포함 된 가장 중요한 데이터는 당시 사용 된 계정 크리덴셜(계정명 + 솔티드, 해싱 패스워드), 이메일 주소 및 모든 컨텐츠(대부분 공개이지만, 개인 메시지도 포함 됨)”


2007년 5월 이후 가입했거나, 그 이후의 메시지 및 포스트는 안전한 것으로 보입니다.



해커, 최근 사용 된 계정명 및 이메일도 훔쳐 가


Reddit은 해커가 Reddit의 2018년 6/3 ~ 6/17에 전송 된 이메일 다이제스트 로그 일부를 다운로드 했다고 밝혔습니다.


“다이제스트는 사용자 계정 명을 관련 이메일 주소와 연결시키며, 사용자가 구독하는 인기있는 safe-for-work 서브레딧에서 뽑은 추천 포스트들을 포함하고 있습니다.”


Reddit은 해커에게 데이터를 도난당한 사용자들에게 Reddit 메시지를 통해 알릴 것이라 밝혔습니다. 2007년의 패스워드를 그대로 사용 중인 사용자들은, 패스워드를 변경하라는 메시지가 표시 될 것입니다.


또한 해커는 Reddit의 소스코드, 내부 파일, 구성 파일, 직원들의 작업 파일에도 접근한 것으로 나타났습니다.



해커, 이중 인증 우회 해


Reddit은 이중 인증을 우회할 수 있었던 해커의 능력에 집중했습니다. 해커는 일부 직원들의 전화번호에 SMS 인터셉트 공격을 실행했으며, 직원의 계정에 접근하는데 필요한 이중 인증 코드를 인터셉트 한 것으로 나타났습니다.


Reddit측에서는 언급하지 않았지만, 이는 해커가 직원의 비밀번호를 이미 알고 있었다는 것을 의미합니다.


Reddit은 SMS기반 이중 인증을 토큰 기반의 이중 인증으로 변경 하고, 타 회사 및 사용자들도 동일한 작업을 할 것을 권고했습니다.


미국 국립표준기술연구소(NIST)는 SMS 기반의 이중 인증을 사용하지 말 것을 권고하고 있습니다. 


학계에서는 지난 몇 년 동안 SMS 기반 이중 인증을 우회해 왔으며 최근, 실제 공격에서도 SMS 기반의 이중 인증은 깨질 수 있는 것이 증명 되었습니다. 이 기능에는 분명 문제가 있지만, 보안 연구원들은 아예 이중 인증을 사용하지 않는 것 보다는 SMS 기반 이중 인증이라도 사용하기를 권장합니다.



출처 :


티스토리 방명록 작성
name password homepage