크리덴셜 스터핑(Credential Stuffing)은 기존에 다른 곳에서 유출된 아이디와 패스워드를 여러 웹사이트나 앱에 대입해 로그인이 될 경우, 개인정보나 자료를 유출하는 방법이다.
크리덴셜 스터핑이 발생하는 이유는 사용자들이 여러 사이트에 같은 크리덴셜(특히 패스워드)을 사용하고 있기 때문이다. 여러 서비스와 사이트에 걸쳐 계정을 확보한 공격자는 광범위한 사기형 범죄를 저지를 수 있게 된다. 이때 피해자는 개인이 될 수도 있지만, 기업이 될 수도 있다.
기업에서 제공되는 웹 애플리케이션에 크리덴셜 스터핑으로 로그인하는 데 성공하면, 공격자는 수백만에서 수천만에 이르는 민감 정보가 저장되어 있는 DB에 도달할 수 있다. 이 DB 데이터가 공격자에게 넘어가면, 기업은 막대한 금전적 손해와 이미지 손상을 입게 된다.
크리덴셜 스터핑 공격은 보통 자동화 기술을 수반한다. 따라서 다음과 같은 징조가 나타난다. 첫째, 제한된 시간 안에 다량의 계정이 한꺼번에 로그인 시도가 증가하는 등 트래픽에 변화가 생긴다. 둘째, 평균보다 로그인 실패 빈도수가 높아진다. 셋째, 사이트 트래픽 증가로 일순간이라도 다운타임이 생긴다.
대응방안으로는 ①봇 차단 ②다중인증 옵션 도입 ③어려운 비밀번호 설정 ④사용자 ID로 이메일 주소를 사용하지 않음 ⑤리스크 기반 인증 시스템 구축 ⑥비밀번호를 사용하지 않는 인증 시스템 사용 ⑦핑거프린팅 라이브러리를 사용해 복제할 수 없는 식별 데이터 확보 등이 있다.
[제작=서울여자대학교 정보보호학과 학생회 플레이스]
크리덴셜 스터핑이 발생하는 이유는 사용자들이 여러 사이트에 같은 크리덴셜(특히 패스워드)을 사용하고 있기 때문이다. 여러 서비스와 사이트에 걸쳐 계정을 확보한 공격자는 광범위한 사기형 범죄를 저지를 수 있게 된다. 이때 피해자는 개인이 될 수도 있지만, 기업이 될 수도 있다.
기업에서 제공되는 웹 애플리케이션에 크리덴셜 스터핑으로 로그인하는 데 성공하면, 공격자는 수백만에서 수천만에 이르는 민감 정보가 저장되어 있는 DB에 도달할 수 있다. 이 DB 데이터가 공격자에게 넘어가면, 기업은 막대한 금전적 손해와 이미지 손상을 입게 된다.
크리덴셜 스터핑 공격은 보통 자동화 기술을 수반한다. 따라서 다음과 같은 징조가 나타난다. 첫째, 제한된 시간 안에 다량의 계정이 한꺼번에 로그인 시도가 증가하는 등 트래픽에 변화가 생긴다. 둘째, 평균보다 로그인 실패 빈도수가 높아진다. 셋째, 사이트 트래픽 증가로 일순간이라도 다운타임이 생긴다.
대응방안으로는 ①봇 차단 ②다중인증 옵션 도입 ③어려운 비밀번호 설정 ④사용자 ID로 이메일 주소를 사용하지 않음 ⑤리스크 기반 인증 시스템 구축 ⑥비밀번호를 사용하지 않는 인증 시스템 사용 ⑦핑거프린팅 라이브러리를 사용해 복제할 수 없는 식별 데이터 확보 등이 있다.
[제작=서울여자대학교 정보보호학과 학생회 플레이스]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
