내 정보를 위협하는 크리덴셜 스터핑 알아보기!

페이스북, 인스타그램, 유튜브 등 여러 SNS 사이트에 로그인하여 정보를 공유하는 것이 일상인 요즘, 편의상 하나의 비밀 번호를 동일하게 사용하고 있지는 않으신가요? 실제로 많은 사람들이 여러 사이트의 비밀번호를 동일하게 사용하고 있죠. 하지만 귀찮다고 하나의 비밀번호를 동일하게 사용하면 ‘크리덴셜 스터핑(Credential Stuffing)’이라는 해킹 공격에 당할 가능성이 매우 높은데요. 크리덴셜 스터핑이 무엇인지 알아보도록 할게요~

로그인 계정, 비밀번호, 이메일, 기타 개인정보 등 사용자 본인 인증을 위한 정보를 폭넓게 아울러 ‘크리덴셜(Credential)’ 이라고 하는데요. 크리덴셜은 사용자가 본인을 증명하는 수단으로서의 의미가 있죠.

‘크리덴셜 스터핑’ 공격이란 공격자가 이미 확보한 계정과 비밀번호를 무차별 대입(Stuffing)하여 로그인 후 사용자 정보를 추가로 유출하는 공격기법인데요. ‘크리덴셜 스터핑’은 단순하지만 아주 효과적인 공격이며, 검색엔진과 파일 공유 서비스로 찾아보면 예전에 유출 된 로그인 정보가 공개된 곳도 많기 때문에 더욱 심각한 위협이 되고 있죠. 이러한 해킹 공격의 피해 사례를 살펴보도록 할게요~

은행 해킹(2018년)은 타 사이트에서 유출된 계정, 비밀번호를 이용하여 6월 23일~27일 동안 은행 인터넷 뱅킹에 85만회 로그인을 시도하여, 그 중 5만 6천여 건을 성공시켰는데요. 이를 통해 계좌 정보와 자산 상태 같은 중요한 개인정보가 노출 되어 보이스피싱 등 2차적인 공격으로 이어지기도 했죠.

알툴즈 해킹(2017년)은 2월 ~ 9월 무려 7개월에 걸쳐 타 사이트에서 탈취한 로그인 정보를 이용해 알패스(암호를 저장, 관리하는 서비스)를 대상으로 무작위 대입 공격을 가했습니다. 그 결과 17만여 개의 계정과 이에 저장된 약 2천 5백만 개의 비밀번호를 빼내었고 해커는 이 개인정보를 이용해 피해자의 포털에 접속하여 주민등록증, 카드, 사진 등을 악용하여 대포폰 개통, 가상화폐 출금 등 추가 범죄를 저질렀습니다.

위와 같은 해킹사고를 예방하기 위해서는 각 인터넷 사이트별로 계정과 비밀번호를 다르게 설정하는 노력을 해야하죠. 특히 금융 거래용, 회사 업무용과 같은 중요한 사이트는 유추할 수 없을 정도의 강력한 비밀번호를 설정하는 상당한 주의가 필요합니다.