[알쓸보안사전] 잊을 만하면 당하는 ‘크리덴셜 스터핑’... 당신의 비밀번호가 다크웹에?

취약한 사이트에서 탈취된 아이디·패스워드... 중요 사이트서 2·3차 피해 입어
해커들이 잊을 만하면 다시 공격하는 수법, 최선의 예방책은 사이트별 다른 비밀번호 설정
내 계정정보 유출여부 궁금하다면? ‘털린 내 정보 찾기’ 또는 ‘Have I Been Pwned’ 서비스 통해 확인 가능

[보안뉴스 이소미 기자] ‘익숙함’과 ‘편안함’이라는 단어는 사실 ‘보안’과는 거리가 멀다. 디지털 대전환 시대에 단순하고 편리함을 추구한다는 건 공격자들에게 그만큼 쉽게 기회를 내어주는 셈이기 때문이다. 디지털 시대가 가속화되면서 남녀노소 불문하고 통신 네트워크·IT·인터넷 없이 생활한다는 것은 거의 불가능하게 됐다. 이에 저마다 사이버상의 고유한 이름, 즉 아이디와 사용자임을 증명하는 패스워드를 갖고 있다. 그런데 쉽고 편안한 디지털 삶을 영위하기 위해 항상 동일한 아이디와 패스워드를 사용한다면? 이 공격을 주의해야 한다. <보안뉴스>가 잊을 만하면 나타나는 사이버 공격인 ‘크리덴셜 스터핑’에 대해 알아봤다.

[이미지=gettyimagesbank]

△이 주의 보안 용어
크리덴셜 스터핑(Credential Stuffing)
‘크리덴셜(Credential)’은 시스템에서 사용하는 암호화된 개인정보를 의미하는 것으로 비밀번호, 암호 알고리즘 공개키, 개인키, 공개키 인증서, 최상위 인증기관 및 인가 정보 등이 포함된다.

‘크리덴셜 스터핑(Credential Stuffing)’은 한 번 유출된 아이디나 패스워드를 이용해 여러 웹사이트 애플리케이션에 접근해 로그인되는 경우, 개인 정보나 자료를 탈취 및 유출하는 공격이다. 한 마디로 다른 사이트에서 쉽게 탈취한 계정 데이터를 민감·금융 정보 등을 다루는 중요한 곳에 다시금 악용하는 수법이다. 이렇게 탈취된 계정 데이터는 다크웹 등에서 불법적으로 오랜 기간 판매되기도 한다.

크리덴셜 스터핑은 ‘단순 반복형’ 공격이지만, 실제 피해를 입게 되면 꽤 타격이 크다. 이는 OSMU(One Source Multi Use) 때문인데 한 개의 비밀번호로 A·B·C 사이트 모두 동일하게 설정하게 되면 어느 포털 사이트이건 모든 정보가 유출되는 것이다.

만약 사용자가 해외에서 로그인을 시도했다는 알람을 받는다거나 여러 개의 커뮤니티·SNS 계정을 통해 무분별한 스팸 쪽지·광고 글들이 발생한 이력이 확인된다면 크리덴셜 스터핑에 당했을 가능성이 높다.

△이런 일이 있었다
지난 7월 10일 글로벌 커피 브랜드 ‘스타벅스 코리아’(이하 스타벅스)에서 해외 IP를 통해 일부 고객의 유출된 계정정보로 애플리케이션에 부정 로그인 시도 정황이 확인됐다. 공격자는 불법 취득한 아이디·패스워드를 무작위로 조합해 공격을 시도했으며, 로그인에 성공한 계정의 충전금 결제를 도용해 금전적 피해까지 발생시켰다.

사건 발생 이후 스타벅스 측은 즉시 공격자의 해외 IP를 차단하고 관계기관에 신고를 진행했으며, 계정 도용 피해 고객 대상으로 비밀번호 재설정 안내 및 충전금 보상을 진행했다고 밝혔다. 이후 보안 강화를 위해 홈페이지 로그인 및 서비스 비용 결제 시 전용 앱을 통한 2차 인증 등의 추가 인증 절차를 적용하기도 했다.

미국에서는 한 10대 청소년이 게임 및 도박 사이트를 해킹해 1600여명의 피해자를 양산하고 60만 달러를 탈취해 유죄 판결을 받은 사건이 있었다. 체포 당시 경찰은 그의 집에서 크리덴셜 스터핑 공격에 사용된 악성 소프트웨어와 4천만 개의 사용자 이름 및 비밀번호 조합을 발견했다고 전했다.

이처럼 사용자가 계정정보를 부주의하게 관리하는 경우, 해킹, 부정 결제, 개인정보 유출 등의 피해로 확산될 수 있다.

△피해는 이렇게 막을 수 있다
가장 좋은 예방책은 크게 두 가지로 나뉜다. 먼저, 웹사이트 애플리케이션마다 개인 사용자가 기억하기 쉬운 특정 룰에 따라 서로 다른 아이디·패스워드를 설정해 사용하는 것이다.

예시로 사이트별로 특정 글자를 비밀번호 앞자리에 덧붙이는 형태를 들 수 있다. 이처럼 비밀번호 해시값을 모두 다르게 해서 실질적으로 사이트마다 비밀번호는 달라지지만, 이용자 본인은 상대적으로 기억하기 쉽다. 이외에도 여러 가지 방식들을 적용할 수 있는데 사용자가 기억하기 쉬운 특정 규칙을 기반으로 사이트별 비밀번호를 다르게 이용하는 것이 가장 좋은 방법이라고 전문가들은 말한다.

두 번째로 효율적인 방어 방법은 웹사이트나 애플리케이션에 서로 다른 방식으로 혼합해 인증하는 ‘2차 인증(2 Factor Authentication)’을 적용하는 방법이다. 가장 대표적인 예로, 휴대폰 문자로 ‘인증번호’가 발송되는 것과 같다.

또한 기업의 경우, 내부 업무 포털 계정 유출 시 공격자가 기업 정보를 손쉽게 탈취할 수 있게 된다. 따라서 정보 자산을 지키기 위해서는 다중 인증 체계뿐 아니라 계정정보 유출에 대한 실시간 모니터링 및 사고 대응 체계 마련이 요구된다.

한편, 개인별 계정정보 유출 여부가 궁금하다면 ‘털린 내 정보 찾기’나 ‘Have I Been Pwned’ 등의 서비스를 통해 직접 확인할 수 있다.
[도움말=삐뽀삐뽀 보안119]
[이소미 기자(boan4@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)