인터넷 포털사이트, SNS 등 다양한 서비스를 이용하기 위해서는 아이디와 비밀번호를 통해 가입해야 합니다. 가입 시 혹시 동일한 비밀번호를 사용하여 가입하시나요? 같은 비밀번호를 반복하여 사용할 경우 해킹의 위험에 노출될 수 있습니다.

크리덴셜 스터핑(credential stuffing)이란?

크리덴셜 스터핑(credential stuffing)은 여러가지 경로로 수집한 사용자들의 로그인 정보(Credential)를 다른 사이트에 무작위로 대입(Stuffing)하는 공격 방식입니다. 즉, 대량의 아이디와 비밀번호를 무차별적으로 여러사이트에 자동화 대입하여 로그인을 시도합니다. 대부분의 사용자들은 동일한 비밀번호를 여러 서비스에서 재사용하기 때문에 다른 사이트에서 유출된 정보를 이용한 2차, 3차 공격이 가능합니다.

크리덴셜 스터핑 방식은?

크리덴셜 스터핑 공격은 성공 확률이 0.1~0.2%로 다른 해킹 공격에 비해 성공확률이 높은 편입니다. 과거에는 개인정보를 무작위로 대입해가며 로그인 시도를 했으나, 이제는 실제 개인정보를 획득하여 대입하기 때문에 성공확률이 더욱 높습니다.

주로 다크웹 등에서 획득한 정보 혹은 이전의 데이터 사고를 통해 유·노출된 사용자 계정 정보를 활용하여 공격합니다. 따라서 한 개의 사이트가 해킹을 당한다면 해킹당한 사이트와 동일한 로그인 정보를 사용하는 곳들은 잠재적 위협에 노출될 수 있습니다. 해커들은 이렇게 불법으로 탈취한 계정 정보를 판매하거나, 금융, 핀테크, 암호화폐 등을 탈취하는 등 2차 피해를 발생시킵니다.

크리덴셜 스터핑 사례

글로벌 테크놀로지 기업 아카마이 보고서에 따르면 2020년 한 해동안 전 세계 금융업계를 대상으로 총 41억건의 보안 공격이 발생했으며, 그 중 83%인 34억건이 크리덴셜스터핑 공격이였습니다. 실제로 우리나라에서는 지난 2020년, 유명 배우를 비롯한 연예인들의 개인 스마트폰 및 SNS가 해킹되는 사건이 있었습니다. 해킹 방식은 크리덴셜 스터핑 방식을 통해 해킹된 것으로 드러났습니다. 해커가 유명 연예인들의 개인정보를 입수하여 클라우드 계정에 접근 한 후 개인정보를 유출한 것입니다.

이외에도 대형 마트, 교육 및 공공 등 분야를 가리지 않고 크리덴셜 스터핑을 통한 개인정보 유출 사고가 발생하고 있습니다. 특히 공격자들은 국내 유명 포털 로그인 페이지로 위장하는 등 다양한 형태로 사용자의 개인정보를 수집하기도 합니다.

예방하는 방법

크리덴셜 스터핑 공격을 방지하기 위해서는 사용자들이 각 서비스마다 다른 비밀번호를 사용하는 것이 좋습니다. 만약 비밀번호를 모두 다르게 설정하는 것이 어렵다면, 최소한 2단계 인증을 설정해야 합니다.

2단계 인증이란 비밀번호 이외에 또다른 정보를 입력한 후 로그인하는 방식으로, 예를 들면 SMS로 전송되는 인증코드 입력 등이 있습니다. 계정 정보가 유출되더라도 인증코드 등을 통해 추가정보를 확인해야 하기 때문에 계정에 접근하기 쉽지 않습니다.

크리덴셜 스터핑을 예방하기 위해 서비스 제공업체들은 비밀번호 재사용을 방지하기 위해 비밀번호 정책을 강화하고, 2차 인증 방법을 도입하여 보안을 강화해야 합니다.

또한 개인정보의 기술적·관리적 보호조치기준 제4조 5항에서는 개인정보를 처리하는 기업의 비인가 접근 탐지를 규정하고 있습니다.

개인정보의 기술적·관리적 보호조치기준 제4조(접근통제)

⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

이처럼 크리덴셜 스터핑은 점점 악명높은 방식으로 사용자들의 계정을 탈취하고, 악용하고 있습니다. 편리한 서비스를 이용하기 위해 우리의 계정정보를 제공하는 만큼 개인정보를 보호하기 위해 더욱 노력을 기울여야 할 텐데요. 개인정보 유·노출 피해를 줄이면서도 안전한 서비스 이용을 위해 사용자뿐만 아니라 서비스 제공업체, 기업들의 노력이 더해져야 할 것입니다.