크리덴셜 스터핑 이란?
크리덴셜 스터핑(Credential Stuffing)은 이용자가 여러 앱에서 동일 아이디와 비밀번호를 사용하는 것을 노린 해킹 방식입니다. 매우 단순한 공격 방식이지만 효과적이어서 자주 사용하는 방법입니다.
공격자는 다크 웹에서 계정 정보를 많이 확보한 뒤 반복하여 대입을 시도합니다. 이러한 방법으로 개인정보가 다크 웹에 판매되어 계속적인 피해로 이어지고 있습니다.
크리덴셜 스터핑 공격
최근 여러 기업과 기관에서 해킹 공격이 연달아 일어났습니다. 지난 1월 지마켓에서는 일부 고객이 구입한 미사용 전자 문화 상품권 등을 무단으로 사용하고 인터파크나 올리브영에서도 유출되었을 가능성이 있는 것으로 보고 있습니다.
또 최근에는 국내에서 스타벅스, 한국 장학재단, 워크넷에서 피해가 발생하기도 하였습니다. 이에 따라 로그인 방식을 변경했습니다. 한국장학재단은 공격 이후 해외 IP 접근을 차단하고 로그인 방식을 공인인증서로 바꾸었습니다.
크리덴셜 스터핑 예방법
1. 비밀번호는 최소 8자리 이상으로, 영어 대문자, 소문자, 숫자, 특수문자 중 3종류 이상의 조합으로 완성하기
크리덴셜 스터핑 공격과 비슷한 방법 중 하나가 브루트 포스(Brute Force) 공격, 즉 무차별 공격이라고도 합니다. 사용자의 비밀번호를 알아내기 위해 무차별적으로 알파벳이나 자주 사용하는 단어들을 사용합니다. 오래 걸리는 방법이기는 하지만 아직도 사용되고 있기 때문에 예방하기 위해서는 비밀번호를 여러 조합으로 만드는 것이 중요합니다.
2. 주기적으로 비밀번호 변경하기
비밀번호는 3개월마다 변경하기를 권고하고 있습니다. 계정 정보가 유출되었을 경우 즉시 비밀번호를 변경해야 하며 유출되지 않았다 해도 주기적으로 바꾸어야 합니다.
3. 나만의 비밀번호 작성 규칙
예를 들어 도메인 앞 3글자+ 휴대폰 중간 4자리+ 해당 연도+ 특수문자 2자리와 같이 패턴을 정해놓고 적용합니다. ex) Goo24682023!@
4. 오랫동안 방문하지 않은 사이트 탈퇴하기
오랫동안 방문하지 않거나 잘 이용하지 않은 사이트는 정보 보호를 위해 탈퇴하는 것이 좋습니다.
5. 기업의 패스키나 다중 인증(MFA) 방식 사용
패스키는 최근 아마존, 애플, 구글 등의 회사가 지금 도입하고 있는 방식으로 비밀번호 대신 한 쌍의 고유한 암호 키를 사용하는 기술입니다. 개인키는 개인 기기나 클라우드에 저장되며 공개키는 서버에 저장됩니다.
다중 인증(MFA: Multi- factor authentication) 방식도 ID와 비밀번호를 입력하는 1차 인증과 더불어서 ARS, 보안카드, OTP 등 다양한 방식을 활용합니다.
이러한 방식으로 크리덴셜 스터핑 공격으로부터 예방할 수 있습니다. 그 이외에도 기업 차원에서도 보안 시스템을 도입하여 사이트 자체에서 정보가 유출되는 것을 막을 수 있습니다.
보안 업계에서도 IP 보안이나 2차 비밀번호 등의 보안 정책을 도입할 것을 권고하고 있지만 사용자의 편의성을 고려하는 등 적용하지 않고 있습니다.
이렇게 개인 정보 보호 조치를 소홀하게 했다며 엘지 유플러스, 한국 맥도날드 등은 많은 과징금을 물기도 하였습니다. 기업들이 보안 시스템을 도입하여 크리덴셜 스터핑 공격에 대비하는 모습을 보여주면 좋을 듯합니다.
마치며
정말 단순한 공격 방식이지만 효과가 아주 좋은 해킹 방법인 크리덴셜 스터핑. 여러 사이트에 동일한 아이디와 비밀번호를 사용했다면 지금 당장 변경 등의 조치를 취하는 게 해킹 당하지 않는 가장 좋은 방법일 듯합니다.
만약 변경이 불가하다면 다중으로 인증 요소를 추가해 본인 계정의 보안을 강화하는 것도 하나의 방법일 수 있습니다. 단순한 해킹에 당하지 않도록 각자의 계정을 안전하게 지키도록 노력해야 되겠습니다.
