크리덴셜 스터핑(Credential Stuffing)이란? - 위드네트웍스

 

 최근 그 누구도 책임지지 않는 개인정보 유출 사건이 일어나고 있습니다. 개인정보가 유출된 웹사이트 및 회사들은 자사 시스템이 공격받지 않았다고 주장합니다. 개인정보가 유출된 경우 이게 무슨 일인지 화가 나기도 하지만 엄밀히 말하면, 맞는 말입니다. 왜냐하면 진짜 범인은 "크리덴셜 스터핑”으로 알려진 해킹 방법이기 때문입니다.

• 크리덴셜(Credential): 암호화된 개인정보, 로그인 자격증명
• 크리덴셜 스터핑(Credential Stuffing): 공격자가 미리 확보해놓은 크리덴셜을 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용자의 계정을 탈취하는 공격 방식

 

 공격자는 사용자의 ID와 비밀번호를 대량으로 확보한 후 해당 크리덴셜을 다른 디지털 서비스의 로그인 페이지에 "입력"합니다. 일반적으로 사용자는 여러 사이트에서 동일한 아이디와 비밀번호를 재사용하므로 공격자는 하나의 크리덴셜을 사용하여 여러 사이트에 로그인할 수 있습니다. 지난 2019년에 홈플러스, 던킨 도너츠, 비디오 플랫폼인 데일리모션 등이 크리덴셜 스터핑 공격을 받았습니다.

 

대부분 사람들은 비밀번호를 정기적으로 변경하지 않기 때문에 지난 몇 년 동안 크리덴셜 스터핑 공격은 꾸준히 발생했을 뿐 아니라 한번 공격이 이루어지더라도 오래된 크리덴셜 정보 또한 다른 공격에 꾸준히 사용할 수 있었다는 것이 밝혀졌습니다.

 

 

크리덴셜 스터핑

크리덴셜 스터핑이 수 년째 문제가 되고 있습니다. 최근 해커들은 크리덴셜 컬렉션을 공유하고 있습니다. 최근 예들 중 하나는 컬렉션 #1-5로 알려져 있으며, 총 22억 개의 ID와 비밀번호로, 모두 일반 텍스트로 무료로 다운로드할 수 있습니다. 또한 이는 일반인이 토렌트를 통해 쉽게 사용할 수 있어 더욱 심각하게 여겨지고 있습니다.

 

크리덴셜 스터핑은 자동화된 공격입니다. 해커들은 수억 개의 크리덴셜을 수작업으로 일일히 입력하지 않습니다. 일반적으로 웹 서비스는 기본 속도 제한 보호 기능을 갖추고 있기 때문에, 크리덴셜을 무차별적으로 대입해 동일한 IP 주소에서 발생하는 엄청난 수의 로그인을 방지합니다.

 

따라서 해커들은 크리덴셜 스터핑 도구를 사용하여 "프록시 목록"을 통합하여 웹 상에서 로그인 요청을 전송하고 모든 다른 IP 주소에서 요청을 수신하는 것처럼 보이게 합니다. 또한 로그인 요청을 조작하여 다양한 브라우저로부터 온 것처럼 보이게 할 수 있습니다. 왜냐하면 대부분의 웹 사이트는 동일한 유형의 브라우저에서 들어오는 대량의 트래픽에 의심 플래그를 표시하기 때문입니다. 심지어 크리덴셜 스터핑 도구는 reCAPCHA(리캡차)를 우회하기 위해 구축된 플랫폼과의 통합까지 제공하기도 합니다.

 

크리덴셜 스터핑 예방하기

크리덴셜 스터핑 공격을 예방하기 위해서는 내부 개인 정보 유출을 방지하는 것이 가장 중요합니다. 따라서, ID/Password가 유출되었다는 것을 파악했을 때 또는 주기적으로  패스워드를 변경하는 것이 중요합니다.

 

만약 개인 정보 유출로 크리덴셜 스터핑 공격이 발생한다고 가정할 경우,  크리덴셜 스터핑 공격은 두 가지 유형으로 정리할 수 있습니다. 

 

1. ID/Password 정보 유출로 인해서 SSL VPN, VDI등 업무망에 접근시 탈취한 계정과 패스워드로 접속을 하는 경우

• 기존 사용중인 VPN 장비나 VDI망에 OTP (one time password)를 도입해서 2차 인증 적용 

 

2. 대외 서비스 웹사이트에 대한 크리덴셜 스터핑 공격시

• 특정 IP에서 접속 시도가 많을 경우 차단하게 IPS나 WAF에서 차단 정책 설정
• 서비스 웹 사이트 로그인 창에 2차 인증이나 QR코드 인증등을 활용하는 방법 

예를 들어  NAVER에서 제공되는 로그인 창에서 보안을 유지하기 위해서는 특정 IP에서만 접속 허용하는 IP보안,  OTP 인증 , QR 코드 로그인 제공하는 방법을 사용할 수 있습니다.

 

 

 

 

 

기업 차원에서 크리덴셜 스터핑 공격을 예방하기 위해서 크리덴셜 스터핑 대응 솔루션을 도입할 수 있습니다.

 

위드네트웍스에서는 여러분의 기업 환경에 최적화된 크리덴셜 스터핑 대응 환경에 대한 컨설팅 및 솔루션 구축을 도와드립니다!

더 자세한 설명을 원하시면 언제든 문의 주시기 바랍니다! 감사합니다!

 

 

Copyright(c) 2021. (주)위드네트웍스  All Right  reserved

 

 

<참고 내용: "What is credential stuffing", Lily Hay Newman, 2019.02>