크리덴셜스터핑(Credential stuffing) 에 대해 알아보겠습니다.

 사용자가 로그인 인증 정보를 다른 사이트에서도 동일하게 사용한다는 취약점을 통해서, 공격자가 여러 가지의 경로로 수집한 사용자들의 로그인 인증 정보를 다른 사이트의 계정 정보에 마구 대입하여 공격하는 방식인 '크리덴셜 스터핑(Credential stuffing)'에 대해 알아보도록 하겠습니다.

 

크리덴셜 스터핑 공격은 단순하지만 매우 효과적이어서 많은 공격자들이 자주 사용하는 공격방식 중 하나이기도 합니다. 

 

Ⅰ. 크리덴셜 스터핑(Credential stuffing)이란 ?

 사이버 공격의 한 형태로, 공격자가 탈취한 또는 유출된 인증 정보(사용자 이름과 비밀번호)를 사용하여 여러 온라인 서비스 또는 웹사이트에 대해 대규모로 자동 로그인 시도를 하는 공격 기법을 말합니다.

 크리덴셜 스터핑은 대부분 자동화된 스크립트나 봇을 사용하여 수행되며, 대량의 유출된 인증 정보를 테스트하면서 공격자가 유효한 로그인 자격 증명을 찾는 것을 목표로 합니다.

Ⅱ. 크리덴셜 스터핑의 주요 특징과 위험성

 인증 정보의 노출: 크리덴셜 스터핑은 대규모의 인증 정보가 유출될 때 가장 위험합니다. 이러한 유출은 데이터 브리치, 해킹 사고, 또는 기타 보안 취약점으로 인해 발생할 수 있습니다.
재사용 공격: 크리덴셜 스터핑은 흔히 사용자들이 여러 서비스 또는 웹사이트에서 동일한 사용자 이름과 비밀번호를 재사용할 때 발생합니다. 공격자는 이러한 재사용된 자격 증명을 공격 대상으로 사용하여 로그인을 시도합니다.
자동화 및 대규모 공격: 크리덴셜 스터핑은 자동화된 도구와 봇을 사용하여 대량의 로그인 시도를 수행하므로, 공격자는 짧은 시간 동안 수많은 계정을 공격할 수 있습니다.
계정 잠금 및 보안 위험: 공격 대상 서비스에서 로그인 실패 시 일정 횟수 이상의 로그인 시도로 인해 계정이 잠금 상태가 될 수 있습니다. 또한 유효한 로그인 정보를 찾은 공격자는 해당 계정을 악용하여 부정활동을 수행하거나 민감한 데이터에 접근할 수 있습니다.

 

Ⅲ. 크리덴셜 스터핑 공격을 방지하기 위한 방법

1) 강력한 암호 정책: 사용자들에게 강력한 암호를 설정하도록 권장하고, 비밀번호 재사용을 피하도록 유도합니다.

   ※ 비밀번호는 최소 8자리 이상, 영어 대문자, 소문자, 숫자, 특수문자 중 3종류 이상의 조합으로 작성해야 합니다. 

   ※ 비밀번호는 영어 대문자, 소문자, 숫자, 특수문자 중 2종류 이상의 조합할 경우 10글자 이상

   ※ 비밀번호는 영어 대문자, 소문자, 숫자, 특수문자 중 3종류 이상의 조합할 경우 8글자 이상

2) 2단계 인증(2FA 또는 MFA): 2단계 인증을 활성화하여 로그인 프로세스를 더욱 안전하게 만듭니다. 이는 공격자가 단순한 로그인 정보만으로는 접근할 수 없게 만듭니다.
3) 계정 잠금 정책: 로그인 실패 시 일정 횟수 이상의 로그인 시도로 계정을 잠금 상태로 만드는 정책을 적용합니다.
4) 사용자 교육: 사용자들에게 안전한 인터넷 습관 및 비밀번호 관리에 대한 교육을 제공하여 크리덴셜 스터핑 공격을 방지하는 데 도움을 줍니다.
5) 사이버 보안 솔루션: IDS(침입 탐지 시스템), IPS(침입 방지 시스템), WAF(웹 방화벽) 또는 SIEM(보안 정보 및 이벤트 관리)과 같은 사이버 보안 솔루션을 사용하여 비정상적인 로그인 시도를 모니터링하고 탐지합니다.

크리덴셜 스터핑은 많은 웹사이트와 온라인 서비스에 대한 심각한 보안 위협이 될 수 있으므로 예방 조치가 중요합니다.