마지막으로 ATM 카드나 비밀번호를 분실한 적이 언제인가요? 이제 위협 행위자가 여러분의 정보를 찾아내 슈퍼마켓에서 현금을 인출하는 상황을 상상해 보세요. 크리덴셜 스터핑 공격의 기본 원리는 이와 유사합니다. 해커가 사용자의 인증 정보를 입수하여 이를 이용해 시스템을 침해합니다. 무차별 대입 공격에서는 해커가 비밀번호를 추측하거나 해독하려 시도합니다. 그러나 크리덴셜 스터핑은 다릅니다. 해커가 사용자의 인증 정보를 훔쳐 추측할 필요가 없기 때문입니다. 해커는 당신의 로그인 정보를 확실히 알고 있으며, 이를 다양한 웹사이트와 서비스에 걸쳐 사용하려 시도할 것입니다.
사이버 범죄 허브를 통해 240억 개 이상의 사용자 이름과 비밀번호 조합이 유통되고 있다는 사실을 알고 계셨나요?
크리덴셜 스터핑 공격을 방지하는 방법을 알아보려면 가이드를 계속 읽어보세요. 저희가 도와드리겠습니다.
크리덴셜 스터핑 공격이란 무엇인가요?
크리덴셜 스터핑은 공격자가 사용자의 인증 정보를 획득하여 인증 절차를 우회하는 새로운 방식입니다. 공격자는 봇을 활용해 이러한 공격을 자동화하고 대규모로 실행할 수 있습니다. 크리덴셜 스터핑은 여러 계정에서 동일한 사용자 이름과 비밀번호를 재사용합니다. 여러 번의 로그인을 시도하며 다양한 보안 조치를 우회할 수 있습니다. 크리덴셜 스터핑 공격은 서로 다른 IP 주소에서 시작될 수 있어 추적이 어려울 수 있습니다.
크리덴셜 스터핑은 어떻게 작동하나요?
가장 단순한 의미에서 크리덴셜 스터핑은 공격자가 특정 앱, 플랫폼 또는 서비스에서 사용자의 인증 정보를 획득한 후, 해당 정보를 이용해 다른 서비스에 침투하여 장악하려는 시도입니다. 예를 들어, 공격자가 귀하의 Google 계정 로그인 정보와 비밀번호를 입수했다고 가정해 보십시오. 크리덴셜 스터핑 공격에서는 이 Google 로그인 정보를 사용하여 YouTube, Netflix, Amazon 및 기타 서비스에 접근하려 시도할 것입니다.
솔직히 말해, 여러 서비스에 수동으로 로그인하는 것은 지치게 됩니다. 바로 이 지점에서 공격자는 봇을 설정하고 귀하의 세부 정보를 입력하여 작업을 수행하게 합니다. 이 봇들은 여러 계정에 동시에 로그인하고, IP 주소를 위조하며, 심지어 도난당한 자격 증명이 특정 사이트에서 작동하는지 여부까지 알려줄 수 있습니다. 주의하지 않으면 개인 식별 정보, 신용카드 데이터 및 기타 민감한 정보까지 수집할 수 있습니다.
자격 증명 스터핑 봇은 나중에 사용할 수 있도록 정보를 저장할 수 있습니다. 즉, 귀하의 데이터가 저장되어 유출될 수 있다는 의미입니다. 피해 범위와 지속 기간이 예측 불가능하므로 절대 과소평가해서는 안 됩니다.
해커는 다크 웹에서 불법적으로 구매한 사용자 정보를 이용해 이러한 위협을 가할 수 있습니다. 또한 자동화 도구를 활용해 보안 시스템을 우회하고, 계정 설정을 변경하며, 다른 사용자들의 네트워크 및 계정 접근을 차단할 수도 있습니다. 크리덴셜 스터핑 공격은 해커에게 인프라 진입 경로를 알려줍니다. 숙련된 공격자는 탐지되지 않은 채 잠복할 수 있습니다. 기업이 배경에서 벌어지는 상황을 파악하는 데는 수개월이 걸릴 수 있으며, 그때쯤이면 이미 늦은 경우가 많습니다.
크리덴셜 스터핑 공격을 탐지하는 방법?
신원 정보 재사용 공격을 탐지하는 가장 간단한 방법은 AI 위협 탐지 및 스캐닝 기술을 활용하는 것입니다. 접근 관리 제어 기능을 갖춘 인프라 접근 플랫폼을 구현해야 합니다. IT 팀은 애플리케이션, 데이터베이스, 서버 및 네트워크 전반에 걸쳐 모든 사용자 자격 증명, 계정 및 활동에 대한 광범위한 가시성을 확보해야 합니다.
기업 내 사용자 권한을 확인하고 최소 권한 접근 모델을 구현하십시오. 누구도 쉽게 접근할 수 없는 제로 트러스트 네트워크 보안 아키텍처를 구축해야 합니다. 절대 신뢰하지 말고 항상 검증하라. 이 원칙을 따르십시오.
신원 도용 공격을 식별하고 탐지하는 다른 방법들은 다음과 같습니다:
- IAM, 또는 AI 기반의 신원 및 접근 관리(IAM) 솔루션은 보안 전문가들이 네트워크 주변에 숨어 있는 비정상적인 디지털 신원을 탐지하고 비정상적인 접근 시도에 대해 더 자세히 파악하는 데 도움을 줄 수 있습니다.
- 자동화된 로그인 시도 탐지 시스템은 즉각적인 경고와 실시간 알림을 발동할 수도 있습니다. 침투를 시도하는 자격 증명 스터핑 봇에 대해 이메일과 알림을 받게 됩니다.
크리덴셜 스터핑 공격 방지를 위한 모범 사례
크리덴셜 스터핑 공격을 방지하려면 위협 공격자의 사고방식을 채택해야 합니다. 보안 프로토콜, 정책 및 기술을 정기적으로 검토하고 업데이트하며 최신 사이버 보안 동향을 파악하는 데 주력하십시오.
데이터 유출 발생 시 취해야 할 조치를 명시한 사고 대응 계획을 수립하십시오. 계획에는 위협 격리 및 차단 절차와 함께 위협 해결 방안이 포함되어야 합니다. 또한 피해 사용자 및 관련 당국에 통보하는 방법도 마련해야 합니다. 직원은 방어의 최전선이므로 이러한 공격에 대해 교육하는 것이 필수적입니다.
신원 도용 공격의 피해자가 되지 않도록 직원들은 이를 확실히 이해하고 인식하며 최신 대응 방법을 배워야 합니다. 강력한 비밀번호 보호 정책을 반드시 시행하고 팀원들이 모든 계정에 가장 강력하고 고유한 비밀번호를 사용하도록 권장하십시오. 여러 서비스에 동일한 사용자명과 비밀번호 조합을 사용하지 않도록 하십시오. 직원들에게 사회공학적 기법에 대한 경각심을 가르치는 것도 중요합니다. 사칭 시도를 인지하고 외부인에게 세부 정보를 누설하지 않도록 해야 합니다. 공개된 비보호 네트워크를 통해 기업 데이터를 공유하거나 파일을 업로드할 수 없도록 업무 정책을 시행하는 것이 좋은 관행입니다.
다중 인증과 같은 고급 인증 방법을 사용하십시오. 다중 인증을 장치 지문 인식 및 생체 인식과 같은 다른 기술과 결합하여 계층적 보안을 구축하십시오.
머신 러닝 및 인공지능 기술은 대규모 데이터 세트와 트래픽 흐름을 분석하여 이러한 공격을 탐지하는 데 도움이 됩니다. 또한 사용자 행동을 모니터링하고 실시간 보호 이상 징후를 표시하거나 탐지할 수 있습니다.
AI를 설정하여 의심스러운 활동을 감지할 경우 자동으로 IP 주소를 차단하고 계정을 일시적으로 로그아웃시켜야 합니다. 또한 사용자에게 인간임을 증명하도록 요구하는 CAPTCHA 및 기타 봇 탐지 메커니즘을 활용해야 합니다. 이는 자격 증명 도용을 방지하는 관문 또는 장벽 역할을 할 것입니다.
추가 방어 수단이 될 수 있는 다른 봇 탐지 방법으로는 속도 제한(레이트 리미팅)과 IP 차단이 있습니다.
디지털 자산을 보호하고 고객 신뢰를 유지하기 위해서는 선제적이고 협력적이며 반복적인 접근 방식을 취해야 합니다. 따라서 보안 정책, 방법 및 워크플로를 자주 검토하고 최신 상태를 유지하십시오.
위협 인텔리전스 강화실제 자격 증명 스터핑 공격 사례
다음은 자격 증명 스터핑 공격의 실제 사례입니다:
- 페이팔은 2022년 12월 6일부터 8일까지 대규모 자격 증명 재사용 공격을 경험했습니다. 해커들은 고객의 성명, 사회보장번호, 납세자번호, 신용카드 및 체크카드 정보를 탈취했습니다. 페이팔은 침해 사실을 늦게 발견했지만, 즉시 보안 취약점을 차단하기 위한 최선의 조치를 시행했습니다. 사용자에게 비밀번호 변경과 2단계 인증(2FA) 설정을 촉구했습니다. 그러나 해커들이 무관한 서비스에서 동일한 자격 증명을 재사용했기 때문에, 사용자들이 조치를 취하기 전에 이미 계정이 취약한 상태가 되었습니다.
- 23andMe 자격 증명 재사용 공격은 현실 세계에서 발생한 자격 증명 재사용 공격의 대표적인 사례 중 하나입니다. 이 사건은 자격 증명 스터핑 공격을 예방하는 방법을 배우지 않거나 주의를 기울이지 않을 때 어떤 일이 발생하는지 보여줍니다. 해커들은 미국 기반 유전자 검사 회사를 표적으로 삼아 충분한 시간을 두고 데이터를 탈취했습니다. 그들은 DNA 정보, 유전자형, 가계도, 집 주소, 생년월일 등을 훔쳐 690만 명 이상의 사용자와 그 가족들에게 피해를 입혔습니다. 자격 증명을 탈취한 후에는 다크 웹에서 이를 판매했습니다. 해당 기업은 결국 고객들로부터 여러 건의 집단 소송을 당하게 되었습니다.
- 오크타(Okta)는 해커들이 자사의 신규 기능을 대상으로 자격 증명 재사용 공격을 감행했다고 고객들에게 경고했습니다. 2024년 4월 15일, 자사 엔드포인트를 겨냥한 일련의 공격을 확인했습니다. 회사는 사용자들에게 알리고 대응 지침을 제공했습니다. 사용하지 않는 허용된 크로스 오리진 기기를 제거하고 크로스 오리진 인증을 비활성화할 것을 권고했습니다. 안전 조치로 사용자들은 무비밀번호 인증과 피싱 방지 인증을 활성화하여 보호를 유지했습니다.
결론
신원 정보 재사용 공격은 드문 일이 아니며 누구에게나 언제든 발생할 수 있습니다. 보안 정책을 체계적으로 업데이트하고, 비밀번호를 자주 변경하며, 사용자의 경계심을 유지하는 것이 필수적입니다. 이러한 위협 가능성을 무시할수록 공격 기회는 늘어납니다. 해커들은 조직의 규모에 상관없이 공격합니다. 오랜 기간 위협 정찰을 수행한 후, 가장 예상치 못한 순간에 갑작스럽게 공격을 가할 수 있습니다. FBI는 크리덴셜 스터핑 공격이 급증하고 있다고 경고했습니다.
기업이 확장되고 네트워크가 확대됨에 따라 더 많은 트래픽을 처리하게 될 것입니다. 자격 증명 재사용 공격은 주로 전자상거래, 비정부기구(NGO), 의료, 금융 기관을 표적으로 삼지만 해당 업종에만 국한되지 않습니다. 이러한 사건 발생 시 고객 신뢰 상실과 정상적인 운영 능력 저하로 인해 비즈니스에 심각한 타격을 입게 됩니다.
FAQs
크리덴셜 스터핑은 공격자가 훔친 로그인 정보를 이용해 다른 계정에 접근하는 공격 방식입니다. 공격자는 자동화된 소프트웨어를 활용해 다수의 사이트에 해당 정보를 효율적으로 시도합니다. 이는 추측이 아닌 공격으로, 공격자가 이미 사용자의 로그인 정보를 확보했기 때문에 위험한 공격입니다.
비밀번호 유출 여부를 확인하려면 온라인에서 유출 데이터를 탐지하는 검색 엔진을 이용할 수 있습니다. 해당 서비스는 데이터 유출 사건에서 귀하의 비밀번호나 이메일 주소가 발견되었는지 알려줍니다. 또는 계정을 주기적으로 모니터링하여 의심스러운 활동을 확인하고 비밀번호를 변경하는 방법도 있습니다.
CAPTCHA는 사용자에게 자신이 봇이 아님을 인증하도록 요구함으로써 자격 증명 스터핑 공격을 막을 수 있습니다. 이는 자동화된 봇이 도난당한 자격 증명을 사용해 로그인 시도를 하는 것을 어렵게 만듭니다. 그러나 CAPTCHA는 완벽하지 않으며, 다중 인증과 같은 다른 보안 관행과 함께 사용해야 합니다.
비밀번호를 주기적으로 변경하면 자격 증명 도용의 피해자가 되는 것을 방지하는 데 도움이 됩니다. 특히 위험도가 높은 계정의 경우 몇 달마다 비밀번호를 변경하는 것이 좋습니다. 여러 계정에 서로 다른 비밀번호를 사용하면 하나의 비밀번호가 유출되더라도 피해를 최소화할 수 있습니다.
크리덴셜 스터핑은 해커가 도난당한 자격 증명으로 여러 계정에 접근할 수 있게 하기 때문에 위협입니다. 이는 신원 도용, 금전적 손실, 개인 데이터 유출로 이어질 수 있습니다. 탐지하기 어렵고 누구에게나 발생할 수 있으므로 개인과 조직 모두에게 심각한 위협이 됩니다.
강력한 보안 체계는 크리덴셜 스터핑 위험을 완화할 수 있습니다. 여기에는 다중 인증, 피싱 인식 직원 교육, 정기적인 보안 업데이트가 포함됩니다. 기업은 또한 의심스러운 로그인 시도를 추적하고 AI 기반 위협 탐지 도구를 활용하여 공격에 대비해야 합니다.