크리덴셸 스터핑(Credential Stuffing)
크리덴셸 스터핑(Credential Stuffing) 사용자의 계정을 탈취하는 공격 유형 A회사에서 유출된 고객의 ID와 비밀번호를 확보한 공격자가 B, C, D... 라는 회사가 제공하는 서비스에 자동화 기술로 대입하는 것 이를 사용해 탈취한 정보가 다른 회사에 인증이 되면 하나의 계정을 더 획득하게 됨 '무작위 대입'은 한 가지 서비스에 수많은 ID/Password 조합을 대입하는 것으로, 탐지되기 쉬움 크리덴셸 스터핑은 한 사이트에서 대입하는 숫자가 그리 많지 않아 눈에 띄지 않음 공격 순서 공격자가 도난당한 데이터를 확보 (다크웹 등지에서 ID/Password 콤보를 사들이고 다운) 여러 계정에 마구 대입해 볼 수 있는 도구를 사용 로그인을 실제로 해서 계정을 분석하고 추가 공격 가능성을 검토 결..