크리덴셜 스터핑(Credential Stuffing) 공격

크리덴셜 스터핑(Credential Stuffing) 

 

개요

크리덴셜 스터핑(Credential Stuffing)은 해커가 유출된 사용자명-비밀번호 조합을 사용하여 여러 웹사이트에 로그인 시도를 자동화하는 공격입니다. 이는 사용자들이 여러 플랫폼에서 동일한 비밀번호를 사용하는 습관을 악용합니다.

---

 

공격 방법

• 데이터 수집: 유출된 사용자 정보는 보통 대규모 데이터 유출 사고를 통해 얻습니다. 이러한 정보에는 사용자명, 비밀번호, 이메일 주소 등이 포함됩니다. 해당 개인정보를 해커는 다크 웹에서 이러한 데이터를 구매하거나 무료로 배포된 정보를 수집합니다.

• 피싱 공격: 사용자를 속여 민감한 정보를 입력하게 만드는 공격.
• 악성 소프트웨어: 키로거, 트로이 목마 등을 통해 정보를 수집.
• 소셜 엔지니어링: 신뢰를 구축하여 정보를 빼내는 방법.
• 취약한 웹사이트:보안이 취약한 사이트를 해킹하여 정보 탈취.

 

• 자동화 도구: Sentry MBA와 같은 도구를 사용하여 로그인 시도를 자동화합니다.

 

• 성공률: 작은 성공률로도 많은 계정을 탈취할 수 있습니다.

---

피해 영향

• 금전적 손실: 크리덴셜 스터핑 공격은 종종 금융 계정을 표적으로 하여 불법적인 금융 거래를 발생시킵니다. 이는 개인의 재산 피해뿐만 아니라 기업의 금융 손실로 이어질 수 있습니다. 예를 들어, 공격자는 피해자의 은행 계좌에 접근하여 돈을 이체하거나 온라인 쇼핑 계정을 통해 물건을 구매할 수 있습니다.

 

• 평판 손상: 기업이 크리덴셜 스터핑 공격을 당하면 고객의 신뢰도가 크게 저하됩니다. 고객의 계정이 침해되어 민감한 정보가 유출되면 고객은 해당 기업을 신뢰하지 않게 되며, 이는 장기적으로 기업의 브랜드 이미지에 심각한 손상을 줄 수 있습니다. 예를 들어, 대형 소매업체가 공격을 받아 고객 정보가 유출되면 고객은 해당 소매업체를 이용하지 않게 될 수 있습니다.

 

• 법적 문제: 개인정보 보호법 등 다양한 규제를 준수하지 못할 경우 법적 문제에 직면할 수 있습니다. 유럽 연합의 GDPR과 같은 법률은 데이터 침해가 발생할 경우 기업에 큰 벌금을 부과할 수 있습니다. 예를 들어, GDPR 규정을 위반하여 고객의 개인정보가 유출된 기업은 막대한 금전적 벌금과 함께 법적 소송에 직면할 수 있습니다.

---

 

피해 사례

• Equifax 데이터 유출 (2017): 해커들이 1억 4,700만 명 이상의 미국인의 개인 정보를 탈취. 사회보장번호, 출생일, 주소 등이 유출되어 크리덴셜 스터핑 공격에 사용됨. 결과적으로 수백만 달러의 법적 비용과 고객 신뢰도 손실이 발생.

 

• 리버티 리저브 (2013): 해커들이 대규모 금융 플랫폼의 사용자 계정 정보를 탈취하여 불법 금융 거래와 돈세탁에 사용. 이로 인해 회사가 폐쇄되고 관련자가 체포됨.

 

• 소니 픽처스 엔터테인먼트 (2014): 해커들이 직원 계정 정보와 기밀 데이터를 탈취하여 영화 미개봉본을 유출하고 내부 이메일을 공개, 막대한 평판 손실을 초래함. 법적 문제와 수백만 달러의 비용이 발생.

---

방어 전략

• 다중 인증(MFA): 추가적인 보안 레이어로 계정을 보호합니다. MFA는 사용자가 로그인할 때 추가적인 인증 단계를 거치도록 하여 비밀번호가 유출되더라도 계정을 보호할 수 있습니다. 예를 들어, 사용자가 로그인 시 SMS로 전송된 일회용 코드를 입력하도록 요구할 수 있습니다.

 

• 비밀번호 관리: 강력하고 고유한 비밀번호 사용을 권장합니다. 사용자는 각기 다른 계정에 대해 서로 다른 비밀번호를 사용해야 하며, 비밀번호는 복잡하고 추측하기 어렵게 만들어야 합니다. 예를 들어, 최소 12자 이상의 대문자, 소문자, 숫자, 특수문자가 조합된 비밀번호를 사용하는 것이 좋습니다. 추가적으로, 2단계 인증을 활성화하여 보안을 강화할 수 있습니다.
• 2단계 인증 하는법

• 삼성 계정: 휴대폰 설정 > 계정 > 삼성 계정 > 비밀번호 및 보안 > 2단계 인증 메뉴 활성화
• Apple ID: 휴대폰 설정 > 사용자 이름 > 암호 및 보안 > 이중 인증 켜기 > 계속
• 네이버 계정: 로그인 > 내정보 > 보안설정 > 비밀번호 (2단계 인증) > 설정
• 다음카카오 계정: 로그인 > 내정보 > 2단계 인증 > 설정
• 구글 계정: 로그인 > Google 계정 관리 > 보안 > 2단계 인증 > 설정

 

• 모니터링: 비정상 로그인 활동을 실시간으로 감시하고 대응합니다. 자동화된 도구를 사용하여 로그인 시도의 패턴을 분석하고, 비정상적인 로그인 시도가 감지되면 즉시 경고를 발송하거나 추가 인증 단계를 요구할 수 있습니다. 예를 들어, 동일한 IP 주소에서 짧은 시간 내에 여러 계정으로 로그인 시도가 발생하면 해당 IP를 차단하는 조치를 취할 수 있습니다.

---

탐지 방법

1. 로그인 시도 모니터링: 짧은 시간 내에 동일한 IP 주소 또는 여러 IP 주소에서 다수의 로그인 시도가 발생하는지 모니터링합니다. 이러한 활동은 크리덴셜 스터핑의 전형적인 징후입니다.

2. 비정상적인 로그인 패턴 분석: 사용자 계정의 평소 로그인 패턴과 비교하여 비정상적인 활동을 탐지합니다. 예를 들어, 일반적으로 특정 지역에서만 로그인하는 사용자가 갑자기 다른 국가에서 로그인 시도가 발생하는 경우.

3. 계정 잠금 정책 적용: 일정 횟수 이상의 실패한 로그인 시도가 발생하면 계정을 잠금 처리하여 추가적인 공격을 방지합니다.

4. 캡차 도입: 자동화된 로그인 시도를 차단하기 위해 로그인 페이지에 캡차를 도입합니다.

5. 실시간 경고 시스템: 비정상적인 로그인 활동이 감지되면 실시간으로 경고를 발송하여 즉각적인 대응이 가능하도록 합니다.

6. IP 평판 분석: 알려진 악성 IP 주소 또는 의심스러운 IP 주소로부터의 접근을 차단하거나 제한합니다