크리덴셜 스터핑 공격(Credential Stuffing Attack) 이란?
Brute Force 공격의 일종으로서 미리 확보해놓은 로그인 자격증명(Credential)을 다른 계정에 무작위 대입(Stuffing)하며 다양한 서비스에 대입해 계정을 탈취하는 공격 방식
→ 간단히 말해 개인정보가 유출되고 해당 개인정보에 계정 정보도 포함되는 경우 해당 아이디와 패스워드를 활용하여 여러 사이트(서비스)에 계정과 패스워드를 바꿔가며 로그인을 시도하여 계정을 훔치는 방식의 공격
공격의 대상은 사용자의 PC부터 기업의 서버, DB까지 넓게 확장될 수 있으며 기업이 취약점에 노출되는 경우 수많은 고객들의 민감한 정보가 피해를 입을 수 있다.
피해 사례
- 암호화폐 거래소의 개인 계정을 해킹하여 보유한 암호화폐를 출금
- HS** Bank 데이터 유출 사건
- 연예인 스마트폰, 클라우드 계정 탈취 사건
- 간편 결제 어플리케이션(토x) 부정 결제 사건
예방 방법
- 주기적인 비밀번호 변경
- 패스워드가 유출되었더라도 활용되기 전에 비밀번호를 변경하면 취약점을 해소할 수 있음 - 여러 서비스에 대한 동일한 계정 정보(아이디, 패스워드) 지양
- 동일한 ID, Password를 사용하는 서비스는 모두 취약점을 가지게 됨 - 2단계 인증(2FA) or 다단계 인증(MFA) 적용
- 2단계 인증으로 정보가 유출되더라도 공격자가 접근할 수 없음
추가 요소
- Microsoft Edge - Password Monitor
- 계정 정보 유출 가능성이 있는 사이트를 스캔하여 사용자 계정 정보의 유출을 탐지하고 알림을 보내는 기능
- 유출된 계정 정보 확인 시 알림을 보내며 해당 웹사이트로 이동하여 비밀번호를 변경하도록 안내
※ 설정 → 프로필 → 암호 → 암호가 온라인 유출에서 발견되면 경고 표시
시험 출제 내역
- 21년 1회 기사 실기
( )이란 공격자가 미리 확보해놓은 로그인 자격증명을 다른 계정에 무작위로 대입해보며 사용자의 계정을 탈취하는 공격 방식 (3점)
'크리덴셜 스터핑' 관련 뉴스 (2021년 6월 29일 기준)
- (보안뉴스 21.06.28) 나도 모르게 ‘아마존’에서 결제가 됐다... 아마존 해킹 기승
- (보안뉴스 21.06.09) 사이버 공격자들, 훔친 크리덴셜 활용하는 데 몇 시간 걸리지 않는다.
- (보안뉴스 21.06.03) 공공기관 350개 중 90%, 316개 59만건 계정정보 다크웹에 유출됐다
- (보안뉴스 21.05.20) 2020년 금융업계 노린 크리덴셜 스터핑 공격 45% 증가... 총 41억 건 달해
- (보안뉴스 21.04.27) 해킹으로 유출된 이메일 계정, 정교한 ‘한글 피싱’에 재사용된다
- (보안뉴스 21.02.17) 해커들, 크리덴셜 훔쳐낸 뒤 4단계로 활용하며 단물 뺀다
- (보안뉴스 21.02.05) [2.5 보안 이슈투데이] 크롬 패치, 큐버네티스 폭격, 스포티파이
- (보안뉴스 20.12.29) 국내 여권번호·잔고 등 딥웹에서 판매중... 연말연시 개인정보 유출 ‘경고등’
- (KISA 보고서 20.04.13) 사이버 위협 동향 보고서(2020년 1분기)
'Security > 취약점과 공격' 카테고리의 다른 글
| 타이포스쿼팅(Typosquatting Attack) 공격 (0) | 2021.06.29 |
|---|---|
| SQL 주입 공격(SQL Injection Attack) (0) | 2020.02.08 |
| 버퍼 오버플로우 공격(Buffer Overflow Attack) (0) | 2020.01.28 |
| 분산 반사 서비스 거부 공격 :: DRDoS (0) | 2020.01.26 |
| 레이스 컨디션(Race Condition) 공격 (0) | 2020.01.25 |
