SECURITY_STUDY

정보보안기사 17회 실기에서 크리덴셜 스터핑 문제가 나왔다고 한다.

최근 보안뉴스 기사에서도 크리덴셜 스터핑이 언급되길래 정리를 해보았다.

"당신의 비밀번호가 유출됐습니다" MS 엣지 '패스워드 모니터' 아시나요?

엣지 브라우저에 저장된 아이디·비밀번호 검색해 다크웹 등에 유출 여부 파악패스워드 모니터 기능 제대로 활용하면 계정 정보 유출 여부 신속히 파악해 조치 가능 [보안뉴스 이상우 기자] 마이크로소프트가 발표한 자료에 따르면 사이버 공격자는 하루 평균 5,000만 건, 초당 약 579건의 비밀번호 공격을 시도하는 것으로 나타났다.

https://www.boannews.com/media/view.asp?idx=97978

최근 나온 기사 내용을 정리해보자면, 엣지 브러우저에서의 '패스워드 모니터' 기능을 키면 다크웹 등을 스캔해 사용자의 계정 정보가 유출됐는지 파악하고 그것을 알려주는 기능이있다고 알려주는 내용이었다.

크리덴셜 스터핑 공격으로 피해를 받은 사례를 찾아보니깐 우리나라에도 홈플러스에서 크리덴셜 스터핑 공격이 발생됐다고 한다.

홈플러스와 던킨도너츠가 당했다! 크리덴셜 스터핑의 모든 것

크리덴셜 스터핑 공격이 전성기를 맞고 있다. 미국에서만 지난 해 단 몇 개월 만에 280억 개의 자동화 봇 공격이 발생했다. 우리나라에서도 홈플러스에서 크리덴셜 스터핑 공격이 발생했고, 던킨도너츠는 요 근래 2015년에 발생한 크리덴셜 스터핑 공격 때문에 새로운 법정싸움을 시작했다. 크리덴셜 스터핑은 무엇이며, 어떻게 방어할 수 있는지 간략히 살펴보자.

https://www.boannews.com/media/view.asp?idx=83369&page=1&kind=1

크리덴셜 스터핑이란?

무차별 대입 공격(Brute force)와 사전 공격(Dictionary Attack) 등 과 마찬가지로 사용자의 계정을 탈취하는 공격 유형 중 하나이다.

사전 공격(Dictionary Attack)과 다른 점은 사전 공격(Dictionary Attack)은 쓸만한 비밀번호를 사전처럼 모아두고 그 모아둔 목록을 자동화 공격 툴을 이용해 대입하는 공격이지만,

크리덴션 스터핑(Credential Stuffing)은 이미 유출된 ID와 비밀번호를 이용해 다른 사이트에 자동화 기술로 대입하는 것이다.

특징

무차별 대입 공격(Brute force)와 사전 공격(Dictionary Attack)과 같은 경우 대입하는 숫자가 많아 탐지되기가 쉽지만

크리덴셜 스터핑 공격으로 인한 피해

크리덴셜 스터핑 공격에 성공한 공격자는 그 계정을 이용해 사기 범죄를 일으킬 수 있다. 혹시나 탈취한 계정의 권한이 높거나 관리자의 계정일 경우에 DB까지 만지거나 탈취까지 가능하기 때문에 피해자(기업, 개인 등)은 큰 손해를 입는다.

크리덴셜 스터핑 공격 방어&예방법

크리덴셜 스터핑 공격의 방어와 예방법을 크게 두 가지로 나누었다.

한가지는 기업차원에서의 방어와 예방법 또 하나는 사용자, 즉 개인의 예방법이다.

기업 차원에서의 방어와 예방법

1. 크리덴셜 스터핑 공격은 자동화 툴을 이용해 공격하는게 일반적이므로 제한된 시간 안에 로그인 시도가 증가하고, 트래픽의 변화가 생기고, 평소보다 로그인 실패 빈도가 높아진다. 그러므로 탐지를 통해 방어를 해야한다.

2. 캡챠 같은 인증 방법을 통해 봇을 차단하는 방법이 있다.

3. 2차 비밀번호와 같은 2단계 인증을 통해 예방을 한다. 다중인증 옵션을 사용중인 계정의 해킹 방지 성공률은 99.9%라고 한다.

4. 회원가입 시 비밀번호 조합을 강력하게 하도록 설정해두어야 한다.

사용자 차원에서의 예방법

1. 사이트에 다중인증 옵션이 있을 경우 사용한다.

2. 각 사이트별로 다른 비밀번호를 사용한다.

3. 비밀번호는 영문, 숫자, 특수문자, 영어 대문자를 포함하여 강력하게 만든다.