국내 악성 봇 감염자의 접속 사이트 순위 (출처:로그프레소)

크리텐셜 스터핑 피해 결과 그래프 

크리덴셜 스터핑

크리덴셜 스터핑(Credential Stuffing)은 최근 온라인 보안에 큰 위협으로 부상하고 있는 방법 중 하나입니다. 이는 다크웹 등 다양한 온라인 플랫폼에서 유출된 아이디와 패스워드를 악의적인 목적으로 활용하여 무차별 대입을 자동화 시킨 악성 봇을 이용한 공격 기술입니다. 

작년 11월 한 달 동안 국내에서 탐지된 악성 봇 감염이 전월대비 54.62% 증가했으며, 전 세계 통계 43.04%보다 11.58%p 높습니다. 이를 통해 자격증명 탈취로 유출된 개인정보를 이용하여 최근, 인터파크(78만 여건)와 워크넷(23만 여건) 그리고 한국장학재단(3만 2천여 건)을 포함한 여러 기관 및 기업에서 수많은 피해 결과가 나왔습니다. 이러한 사례들은 크리덴셜 스터핑을 이용한 계정 탈취 공격의 심각성을 환기 시켜 주고 있습니다. 기술 환경의 발전과 함께 이러한 공격은 점차 더 정교해지고 있으며, 크리덴셜 스터핑을 탐지하고 예방하기가 점점 더 어려워지고 있다는 것을 의미합니다. 

크리덴셜 스터핑의 작동 원리 

크리덴셜 스터핑 공격 분석

크리덴셜 스터핑 공격은 악성 공격자가 대상 웹 사이트나 앱 그리고 다크웹에 유출된 아이디와 비밀번호 등의 개인 정보 데이터를 대량으로 구매하거나 수집합니다. 획득한 개인정보를 컴파일해 크리텐셜 목록을 생성합니다. 보통 이러한 목록을 이용해 자동화된 스크립트를 제작, 자동화된 봇을 통해 수많은 범용 사이트에 로그인 시도를 하게 됩니다. 이 과정을 스터핑이라고 부르며, 사용자 중 일부는 여러 사이트에서 동일한 아이디나 비밀번호를 사용하는 경향이 있어 일부 시도가 성공할 수 있습니다. 공격자가 계정 로그인에 성공하게 된다면 계정 정보를 통해 개인정보를 훔치거나 가상자산 정보를 악용해 금전적 이익을 취할 수도 있습니다. 또한, 불법적으로 검증된 인증 정보를 다크웹에서 다른 범죄자에게 판매할 수도 있습니다. 그리고 이 과정에서 획득한 정보를 기반으로 피싱, 스피어 피싱 등의 추가적인 공격을 시도할 수도 있습니다. 이러한 공격들은 개인의 프라이버시와 보안뿐만 아니라 해당 개인이 속한 기업의 보안도 위협하는 심각한 위험을 초래할 수 있습니다.  

결론

크리덴셜 스터핑은 개인 정보 유출로부터 대량의 아이디와 비밀번호를 획득하여 계정을 탈취하는 공격으로, 자동화된 봇 사용이 활발해지며 공격 횟수가 늘어나고 있습니다. 한번 유출된 정보는 다른 유형의 범죄에도 악용되어 개인과 기업의 보안에 심각한 위협을 초래할 수 있습니다 

크리덴셜 스터핑 방지 방법

• 로그인 인증 시 MFA을 사용하여 추가적인 인증 단계를 통해 공격자가 도용한 계정 정보로 접근하지 못하게 해야합니다.

• 봇을 방지하는 CAPTCHA 로그인 기능이 구현을 하여 다수의 웹사이트 로그인 폼에 대입하는 시도를 방지 해야합니다.

• 비밀번호 설정은 복잡하고 길게 설정하여 사이트 마다 다르게 암호로 설정하며, 주기적으로 변경을 해야합니다.

• 사용자들에게 보안의 중요성을 교육하고, 피싱 공격이나 악성 소프트웨어에 대한 인식을 높입니다.

• 자주 사용되는 취약한 암호나 이전 유출된 정보를 포함한 암호를 블랙리스트에 등록하여 비밀번호 설정이 안되게 해야합니다.

• 털린 내 정보 찾기 서비스로 자신의 계정정보 유출 여부를 확인 후 변경해 2차적인 피해를 예방할 수 있습니다.