브라우저 자동 로그인 기능 조심하세요.

 

최근 인터넷 사용이 늘어남에 따라 우리 생활은 점점 편리해지고 있습니다. 그중 하나가 바로 브라우저의 자동 로그인 기능입니다. 이 기능은 사용자가 매번 아이디와 비밀번호를 입력하지 않아도 되어 편리하지만, 보안에 취약한 환경에서는 큰 위험으로 다가올 수 있습니다.

 

자동 로그인 기능이 활성화된 PC가 악성코드에 감염되거나 공용 PC에서 사용될 경우, 공격자는 사용자의 로그인 정보, 예를 들어 아이디, 비밀번호, 쿠키, 세션 정보 등을 빠르게 탈취할 수 있습니다. 이렇게 탈취된 정보는 이후 다른 웹사이트나 애플리케이션에서의 불법 접근을 위한 크리덴셜 스터핑(Credential Suffing) 공격에 악용될 우려가 있습니다.

---

인포스틸러(Infostealer) 공격의 이해

인포스틸러 공격은 말 그대로 사용자의 중요한 정보를 '빼내어' 가는 공격 방식입니다.

• 비유하자면, 열쇠가 없는 집의 문을 억지로 열어 귀중품을 훔치는 도둑과 같습니다.
• 실제로, 악성코드가 사용자의 PC나 공용 PC에 침투하여 자동 로그인 정보 등을 수집하고, 이 정보는 다크 웹과 같은 어둠의 시장에 노출되기도 합니다.

국가정보원 조사 결과에 따르면, 일부 국가·공공기관 서비스 이용자의 개인정보가 이미 탈취되어 다크 웹에 유출된 사례도 보고되었습니다. 이처럼 한 번 탈취된 정보는 연쇄적으로 다른 계정의 침입 공격에도 사용되며, 피해 범위는 더욱 커질 수 있습니다.

 

---

브라우저별 보안 강화 방법

주요 브라우저(구글 크롬, MS 엣지, 모질라 파이어폭스)는 자동 로그인 기능을 제공하지만, 이 기능을 비활성화하는 것이 보안 상 매우 중요합니다.

• 구글 크롬: 페이지 오른쪽 상단의 프로필 비밀번호 메뉴를 통해 자동 로그인 기능을 중지할 수 있습니다.
• MS 엣지: 오른쪽 상단의 더 보기 메뉴에서 설정에 들어가 프로필 및 암호 항목에서 자동 로그인 옵션을 ‘사용 안함’으로 설정합니다.
• 모질라 파이어폭스: 오른쪽 상단의 더 보기 메뉴를 선택한 후, 개인정보 및 보안 메뉴에서 저장된 로그인을 삭제하면 됩니다.

이와 같이 각 브라우저별 지침을 철저히 이행하는 것이 계정 정보 유출을 방지하는 첫걸음입니다.

 

---

크리덴셜 스터핑(Credential Stuffing)과 연쇄 피해의 위험성

공격자가 탈취한 로그인 정보는 단순히 한 사이트에만 영향을 미치지 않습니다.

• 크리덴셜 스터핑(Credential Stuffing): 탈취한 아이디와 비밀번호를 여러 웹사이트에 무차별적으로 시도하여 침입하는 공격 기법입니다.
• 예를 들어, 한 게임사의 계정이나 글로벌 커피 브랜드 사이트에서 동일한 로그인 정보가 사용되었다면, 한 곳에서의 탈취가 여러 곳에서 피해로 이어질 수 있습니다.

따라서 사용자는 각 사이트마다 다른 아이디와 비밀번호를 사용하고, 가능하면 2차 인증(OTP, 보안 토큰 등)을 활성화하여 보안을 더욱 강화해야 합니다.

---

안전한 인터넷 환경을 위한 필수 수칙

• 자동 로그인 기능 비활성화
  • 자동 로그인 기능은 편리하지만, 보안 취약점으로 작용할 수 있으므로 반드시 사용하지 않는 것이 좋습니다.
• 고유의 로그인 정보 사용
  • 사이트마다 다른 아이디와 비밀번호를 사용하여, 한 곳에서 정보가 유출되더라도 다른 계정에 영향을 미치지 않도록 해야 합니다.
• 2차 인증(이중 인증) 적용
  • 추가적인 인증 과정을 통해 불법 접근 시도를 효과적으로 차단할 수 있습니다.

 

---

블랙쏘세지, 안전하게 링크를 보세요.

보안 환경을 지키기 위한 이러한 노력은 사용자의 개인정보 보호에 큰 역할을 합니다. 이에 더해, 원격 브라우저 격리 기술을 도입한 블랙쏘세지는 링크 클릭 시 자동으로 원격의 안전한 브라우저에서 콘텐츠를 열어, 사용자가 피해를 입지 않도록 도와줍니다.

 

블랙 쏘세지 - 해킹 방지, 피싱, 스미싱, 스팸 차단