크리덴셜 스터핑(Credential Stuffing) / ①

문제10) 크리덴셜 스터핑(Credential Stuffing)

답)

 

 

1. 사용자 계정을 탈취하는 공격 유형, 크리덴셜 스터핑 개요

가. 크리덴셜 스터핑(Credential Stuffing)의 정의

공격자가 미리 확보한 로그인 자격증명(크리덴셜,Credential)을 다크웹 등을 통해 거래 후 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용 자의 계정을 탈취하는 공격 방식

 

나. 크리덴셜 스터핑(Credential Stuffing)의 특징

 

사용자 계정 탈취	무작위 대입을 통한 인터넷 사용자 계정 탈취 목적
계정 생성 패턴 이용	인터넷 사용자의 계정 생성 특징을 노린 공격
크리덴셜 스터핑은 인터넷 사용자들이 동일 로그인 정보를 여러 사이트에서 사용한다는 점을 노린 공격

 

2. 크리덴셜 스터핑(Credential Stuffing)의 공격 메커니즘 및 상세

가. 크리덴셜 스터핑(Credential Stuffing)의 공격 메커니즘

 

 

나. 크리덴셜 스터핑(Credential Stuffing)의 공격절차 상세

구분	공격절차	설명
수집	개인정보 수집	악성코드를 이용하여 불특정 다수의 개인정보를 수집하거나, 기업 네트워크에 침투해 고객정보를 탈취하는 등 다양한 방법을 이용하여 개인정보를 수집
거래	다크웹 판매	해커A는 다크웹을 통해 해킹한 개인정보를 해커B에게 판매
공격	크리덴셜 스터핑	개인정보를 구매한 해커B는 크리덴셜 스터핑 공격 실행
	정보탈취	추가 개인정보, 사진 및 영상 등 개인 data 탈취 금전적 자산 남용 및 사용자 사칭
	부정사용	악성코드 유포 및 데이터 유포협박 및 금전요구 피싱, 스캠공격
반복	판매, 공격 반복	다크웹 통한 거래 및 공격 반복
크리덴셜 스터핑 공격은 자동화 공격을 수반하며, 보통 트래픽 변화, 로그인 실패 빈도수 증가의 징조 선행

 

3. 크리덴셜 스터핑(Credential Stuffing)의 대응 방안

 

구분	대응방안	설명
개인	로그인 정보 반복 사용 지양	한 가지의 ID와 비밀번호 조합을 반복적으로 사용 지양
	비밀번호 주기적 변경	로그인 정보 주기적 변경 통해 2차 피해 방어
기업	로그인 실패 횟수 제한	무차별 대입에 대한 방어를 위해 로그인 실패횟수를 시스템에서 제한
	추가 인증시스템 도입	비밀번호 외에도 문자인증, OTP인증 등의 다중인증(Multi-Factor)옵션 도입
	웹로그 분석	웹로그 분석통한 특정IP주소, 동일 User-Agent 로그인 과다요청 탐지
크리덴셜 스터핑은 개인측면에서 관리 및 기업측면에서의 기술적 기능 도입 필요함

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥