크리덴셸 스터핑(Credential Stuffing)

 

크리덴셸 스터핑(Credential Stuffing)

• 사용자의 계정을 탈취하는 공격 유형
• A회사에서 유출된 고객의 ID와 비밀번호를 확보한 공격자가 B, C, D... 라는 회사가 제공하는 서비스에 자동화 기술로 대입하는 것
• 이를 사용해 탈취한 정보가 다른 회사에 인증이 되면 하나의 계정을 더 획득하게 됨
• '무작위 대입'은 한 가지 서비스에 수많은 ID/Password 조합을 대입하는 것으로, 탐지되기 쉬움
• 크리덴셸 스터핑은 한 사이트에서 대입하는 숫자가 그리 많지 않아 눈에 띄지 않음

 

공격 순서

1. 공격자가 도난당한 데이터를 확보 (다크웹 등지에서 ID/Password 콤보를 사들이고 다운)
2. 여러 계정에 마구 대입해 볼 수 있는 도구를 사용
3. 로그인을 실제로 해서 계정을 분석하고 추가 공격 가능성을 검토

 

결과

• 여러 서비스와 사이트에 걸쳐 계정을 확보한 공격자는 광범위한 사기 범죄를 저지를 수 있음
• 피해자는 계정을 도난당한 사용자 개인이 될 수도 있지만, 서비스를 제공하는 기업일 수도 있음
• 크리덴셸 스터핑으로 로그인을 성공하면 수백만에서 수천만에 이르는 민감 정보가 저장되어 있는 DB까지 도달할 수 있음
• 이 DB 데이터가 공격자의 손에 넘어가면, 기업은 금전적 손해와 이미지에 타격을 받음

 

손해

• 보안과 관련된 지출 증가
• 운영이 마비되는 시간 동안의 손해
• 시스템과 네트워크 복구 시간 및 비용
• 콜센터와 IT 기능이 전부 사고에 집중
• 고객의 신뢰 하락

 

크리덴셸 스터핑 탐지 방법

• 제한된 시간 안에 다량의 계정을 한꺼번에 로그인 시도가 증가하는 등의 트래픽이 발생
• 평균보다 로그인 실패 빈도수가 높아짐
  • 하나의 계정의 로그인 실패가 아닌 서버의 입장에서 여러 계정의 로그인 실패 빈도를 말하는 것
• 사이트 트래픽 증가로 잠시나마 다운 타임이 발생

 

크리덴셸 스터핑 예방

• 봇 차단
• 다중인증 옵션
• 어려운 Password 사용 권장

 

대기업(페이스북, 구글 등)은 각자의 정책을 내부적으로 수립

• 이메일 주소로 사용자 인증에 활용하지 않음
• 리스크 기반의 인증 시스템 구축
• Password를 사용하지 않는 인증 시스템 사용
• 핑거프린팅 라이브러리를 사용해 복제할 수 없는 식별 데이터 확보
  • 여러 데이터를 수집해 조합함으로써 개인을 식별하는 방법