크리덴셜 스터핑(Credential Stuffing)
포스팅 뷰9
1. 크리덴셜 스터핑의 개요
1.1 크리덴셜 스터핑의 정의
크리덴셜 스터핑(Credential Stuffing)은 해커가 유출된 아이디(ID)와 비밀번호(PW)를 자동화 도구를 사용해 다양한 웹사이트에 입력해보며 로그인 성공을 시도하는 방식의 사이버 공격이다. 이 공격은 사용자의 계정 정보가 이미 다른 웹사이트에서 유출된 것을 활용하므로, 임의의 값을 입력하는 브루트포스 공격보다 훨씬 성공률이 높다.
1.2 브루트포스와의 차이점
브루트포스 공격은 무작위로 비밀번호를 생성해서 시도하지만, 크리덴셜 스터핑은 실제 유출된 정보를 이용해 공격한다. 즉, 기존에 탈취된 "진짜 계정 정보"를 무기처럼 사용하는 방식이라 더욱 위협적이다.
2. 크리덴셜 스터핑 공격 사례
2.1 실제 사례
- 닌텐도 (2020년): 약 16만 건의 사용자 계정이 크리덴셜 스터핑 공격을 통해 탈취되었다. 피해자들은 자신도 모르게 결제가 이루어지는 등의 피해를 입었다.
- Zoom (2020년): 코로나19 팬데믹 초기, 급증한 사용자 수를 노린 공격이 발생하였고, 수십만 개의 계정 정보가 다크웹에서 거래되었다.
- 국내 한 금융 플랫폼 (2021년): 사용자 계정으로 대량 로그인 시도가 탐지되어 서비스가 일시 중단되었으며, 이는 크리덴션 스터핑 공격으로 밝혀졌다.
2.2 공격의 주된 원인
- 사용자들이 여러 웹사이트에서 동일한 비밀번호를 사용하는 경우가 많음
- 약한 인증 체계 또는 CAPTCHA 미적용
- 공격 탐지 및 차단 기능 미비
2.3 다크웹과의 연관성
크리덴셜 스터핑 공격의 출발점은 대개 다크웹(Dark Web)이다. 다크웹은 일반적인 검색엔진으로는 접근할 수 없는 인터넷 영역으로, 불법 거래와 해킹된 데이터 유통이 빈번히 이루어지는 공간이다.
다크웹에서 주로 거래되는 정보들:
- 이메일 + 비밀번호 조합 수백만 건
- 특정 웹사이트의 계정 정보 목록
- 신용카드 정보, 주민등록번호, 주소 등 개인정보
- 해킹 도구 및 크리덴셜 스터핑용 자동화 스크립트
공격자들은 이곳에서 이미 유출된 사용자 계정 정보를 저렴한 가격에 일괄 구매하거나, 무료로 배포된 계정 데이터를 활용해 공격을 실행한다.
특히 비밀번호를 여러 곳에서 재사용하는 사용자의 경우, 한 번의 유출이 은행, 이메일, 쇼핑몰, 클라우드 서비스 등 다양한 플랫폼에서의 연쇄 해킹으로 이어질 수 있다.
3. 크리덴셜 스터핑의 위험성과 피해
3.1 사용자 측 피해
- 개인정보 유출 및 프라이버시 침해
- 신용카드 및 금융정보 탈취
- 이메일, SNS 계정 해킹으로 인한 2차 피해 (피싱, 스팸 발송 등)
3.2 기업 측 피해
- 고객 신뢰도 하락
- 서비스 중단 및 장애 발생
- 법적 제재 및 과징금 발생
- 보안 이미지 실추로 인한 브랜드 손상
4. 크리덴셜 스터핑 방지 방법
4.1 사용자 측 예방 수칙
- 비밀번호 재사용 금지: 모든 사이트에 동일한 비밀번호를 사용하는 습관은 매우 위험
- 2단계 인증(MFA) 활성화: 로그인 시 추가 인증 절차를 설정함으로써 해커의 접근을 차단
- 로그인 기록 확인: 수상한 로그인 시도가 있었는지 주기적으로 점검
4.2 기업 측 대응 전략
- 패스워드 변경 정책 강화
- CAPTCHA 및 로그인 속도 제한(Rate Liniting) 적용
- 다중 인증(MFA) 시스템 도입
- 의심스러운 IP 차단 및 알림 설정
- 유출된 DB와 계정 비교 및 자동 리셋 정책
- 이상 로그인 탐지 시스템 도입
크리덴셜 스터핑은 단순한 기술적 공격을 넘어 사용자 습관과 기업의 보안 정책 허점을 노리는 매우 현실적인 위협이다. 피해를 줄이기 위해서는 개인과 기업 모두가 비밀번호 재사용을 피하고, 다단계 인증과 보안 솔루션을 도입해야 한다.