크리덴셜 스터핑 공격의 5 단계 - 위드네트웍스

 

 2019년 전 세계를 떠들석하게 만들었던 사건이 있었습니다. 바로 932 GB에 달하는 수십억 개의 이메일 주소와 비밀번호가 포함된 데이터가 인터넷에서 떠돌아 다니고 있던 것이 밝혀진 사건이었습니다. 더욱 놀라운 것은 이 데이터들이 ‘유출’된 것이 아니라 ‘수집’된 것이었었습니다!

 

 이러한 데이터가 어디서 왔는지 정확하게 알 수는 없지만, 일부는 2016년 드롭박스, 2012년 링크드인, 2013과 2014년 야후!와 2013 어도비에서 나온 것이라는 것이 밝혀졌습니다.

 

 그렇다면 내 계정과 비밀번호가 떠돌아다닌다면 간단하게 비밀번호만 바꾸면 되지 않겠냐고 생각할 수도 있습니다. 하지만 비밀번호를 재설정하는 것은 중요한 것이 아닙니다. 진짜 문제는 같은 비밀번호를 여러 계정에서 사용한다는 것입니다. 만약 우리가 한 계정의 비밀번호를 바꾸었다고 해도 이미 공개된 비밀번호를 사용하는 다른 계정에 손쉽게 접근할 수 있는기 때문이죠.

 

 이러한 공격을 크리덴셜 스터핑이라고 합니다

 

크리덴셜 스터핑(Credential Stuffing)

공격자가 미리 확보해놓은 크리덴셜을 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용자의 계정을 탈취하는 공격 방식

크리덴셜 스터핑(Credential Stuffing)이란? - 위드네트웍스

 

크리덴셜 스터핑 공격의 5 단계

1 단계: 접근

이 단계에서 해커들은 계정 정보를 수집합니다. 이 정보는 해커가 직접 유출한 것일 수도 있고 온라인에서 구매한 것일 수도 있고 아니면 공개 저장소에서 다운 받은 것일 수도 있습니다. 이 단계에서 추가적으로 API, URL, 도메인 이름과 다른 인터넷 자원을 수집할 수도 있습니다.

 

2 단계: 자동화

공격자는 입력 정보를 수집하고 침입을 위한 도구를 준비합니다. 이를 통해 공격자들은 공격에 취약한 사이트, 도메인 및 기타 단말기 검색을 자동화합니다.

 

공격자들이 선택하는 도구 및 구성에는 여러 방어 수단(예: 캡차)을 회피하거나, 발신지 주소를 숨기거나 스푸핑하거나, 대상의 방어(예: 속도 제한에 기반한 타이밍 제어)를 기반으로 공격 방법을 만드는 기능이 포함될 수 있습니다.

 

이 단계는 공격자가 유효한 프록시 서비스, 공격 부하를 분산시킬 봇 등 봇넷과 유사한 시스템을 설계하는 단계입니다. 이를 통해 첫째, 단일 IP 또는 좁은 범위의 주소에서 발생하는 많은 트래픽을 모니터링하는 방어를 속이고 둘째, 공격을 가속화하는 것을 목표로 합니다.

 

Spoofing(스푸핑)

다른사람의 컴퓨터 시스템에 접근할 목적으로 IP주소를 변조한 후 합법적인 사용자인 것처럼 위장하여 시스템에 접근함으로써 나중에 IP주소에 대한 추적을 피하는 해킹 기법의 일종

 

 

3 단계: 아키텍쳐 

이전 단계와 함께 실제 스크립트 생성, 자격 증명 입력으로 계측 설정, 실제 API 또는 기타 타겟으로 툴 구성, 각 공격 및 공격 디바이스의 적절한 타이밍 설정 등이 있습니다. 일반적인 도구로는 Sentry MBA, OpenBullet(CAPTCHA 바이패스 작업), SNIPR, 그리고 cURL과 Wget 등이 있습니다.

 

 

4 단계: 공격

툴이 자동화되어 있기 때문에 'Go' 버튼을 누르고 다음날 성공적으로 로그인된 계정 정보를 발견하는 것이 일종의 시나리오라고 할 수 있습니다. 유효한 계정 정보 목록이 이 공격의 결과가 됩니다. 사실 공격 단계는 반복적인 프로젝트의 초기 공격일 뿐이고, 공격의 주된 목적은 다음 단계인 성취입니다.

 

 

5 단계: 성취

이 단계는 한 마디로 “당신의 모든 계정은 나에게 속했다”라고 말할 수 있습니다. 이 단계의 목표는 계정 공격이 아니라 ‘획득(또는 수집)’ 입니다. 이는 네트워크에 추가 침투, 지적 재산권 도용, 손상된 조직의 피싱 캠페인 배포 또는 알려진 양호한 자격 증명 판매 등이 포함될 수 있습니다. 4단계에 걸쳐 범죄자들은 작업 자격 증명을 수집하고 현재 공격이 진행 중인 동안 사용자 ID:비밀번호 조합을 사용하여 또 다른 확장된 공격을 시작합니다. 그리고 목표가 달성될 때까지 다각적으로 계속 공격을 이어나갑니다.

 

 

크리덴셜 공격으로부터 보호하기

 

 그렇다면 이러한 공격을 막기 위해서 어떻게 할 수 있을까요? 이를 위해서는 기업 수준의 보호와 개별적인 보호 등 다계층적인 접근이 필요합니다.

• 2단계 인증
• 각 계정마다 다른 비밀번호 사용하기
• 비밀번호 관리자를 사용하기
• 각 계정마다 강력한 비밀번호를 사용하기

 이 방법들은 개인적으로 할 수 있는 방법이지만 기업 차원에서 크리덴셜 스터핑 공격을 예방하기 위해서 크리덴셜 스터핑 대응 솔루션을 도입할 수 있습니다.

 

IMG source: CDNetworks

 

 

위드네트웍스에서는 여러분의 기업 환경에 최적화된 크리덴셜 스터핑 대응 환경에 대한 컨설팅 및 솔루션 구축을 도와드립니다!

더 자세한 설명을 원하시면 언제든 문의 주시기 바랍니다! 감사합니다!

 

Copyright(c) 2022. (주)위드네트웍스 All Right reserved.

 

 

<참고 내용: "The 5 Stages of a Credential Stuffing Attack", Ross Moore, 2022.01>