사이버 범죄자들이 가장 선호하는 공격 기법 ‘크리덴셜 스터핑’

혹시 여러 인터넷 사이트에서 같은 ID와 비밀번호를 사용하고 계신가요? 최근 보안상의 이유로 비밀번호 조합 조건이 까다로워지면서 로그인 정보를 기억하기가 점점 더 어려워지는데요. 하지만 번거롭다는 이유로 같은 로그인 정보를 여러 사이트에서 사용하는 것은 매우 위험한 행위입니다. ‘크리덴셜 스터핑(Credential stuffing)’ 공격으로 인한 피해에 쉽게 노출될 수 있기 때문입니다.

사용자의 계정을 탈취하는 공격 유형, 크리덴셜 스터핑

크리덴셜 스터핑이란 공격자가 미리 확보해놓은 로그인 자격증명(크리덴셜, Credential)을 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용자의 계정을 탈취하는 공격 방식입니다. 인터넷 사용자들이 동일한 로그인 정보를 여러 사이트에서 사용한다는 점을 노린 것인데요.

크리덴셜 스터핑은 무차별 대입 공격 기법 중 하나입니다. 하지만 일반적인 무차별 대입 공격이 단어 조합을 이용해 비밀번호를 추측하는 방식이라면, 크리덴셜 스터핑은 유효성이 검증된 정보의 목록을 입수해 이를 활용한다는 차이가 있는데요. 이런 점에서 다른 기법에 비해 공격이 훨씬 쉽고 성공률도 높아져 사이버 범죄자들이 가장 선호하는 기법으로 알려져 있습니다.

크리덴셜 스터핑 문제의 심각성

크리덴셜 스터핑 기법을 이용하는 공격자는 한 사이트에서 확보한 계정을 분석해 또 다른 사이트의 정보를 알아내는 것이 가능합니다. 그렇게 여러 사이트의 개인 신상 정보가 범죄자의 손에 들어가게 되면 광범위한 사기 범죄에 이용될 수 있는데요.

특히 계정을 도난 당한 사용자는 개인일 수도, 기업이 될 수도 있습니다. 크리덴셜 스터핑 기법을 활용해 기업에서 제공하는 웹 애플리케이션에 로그인하는 데 성공하면 해당 기업이 보유한 DB가 노출되는 것이고, 곧 수많은 고객들의 민감한 정보가 도난 당하는 것인데요. 이는 기업의 이미지 손실은 물론, 막대한 금전적 손해로 이어질 수 있는 문제입니다.

알아두면 예방할 수 있는 크리덴셜 스터핑 공격의 징조

크리덴셜 스터핑 공격은 보통 자동회 기술을 활용해 확보한 로그인 정보를 수많은 사이트에 무차별 대입합니다. 그래서 몇 가지 사전 징조가 나타날 수 있는데요. 제한된 시간 동안 수많은 계정에서 동시 로그인을 시도하면서 트래픽에 변화가 감지되거나, 사이트 트래픽이 한 순간 증가하면서 다운타임이 생길 수 있습니다. 또한 평소보다 로그인 실패 빈도수가 높아지기도 하는데요.

이러한 징조로 사전 공격을 확실하게 잡아낼 수 있는 것은 아니기 때문에 사용자들 또한 피해를 막기 위한 예방법을 알아두는 것이 좋습니다. 먼저 개인의 경우, 한 가지의 ID와 비밀번호 조합을 반복적으로 사용하는 것을 피하고, 가능하면 주기적으로 로그인 정보를 변경하는 것이 도움이 됩니다. 기업의 경우, 비밀번호 외에도 문자인증, OTP인증 등의 다중인증 옵션을 도입하면 크리덴셜 스터핑 이후 두 번째, 세 번째 보안 인증을 뚫는 것은 힘들어질 수 있습니다.

지금까지 인터넷 사용자의 계정을 탈취하는 공격 기법 ‘크리덴셜 스터핑’에 대해 알아봤는데요. 2020년에 주목해야 할 5대 사이버위협 중 하나로 꼽힌 만큼, ‘보안’을 생활안전의 일부로 생각하는 의식의 전환이 필요한 때인 것 같습니다.