최근 기업과 기관들을 대상으로 한 크리덴셜 스터핑(CredentialStuffing) 공격이 고도화되면서 피해 사례가 급증하고 있습니다. 크리덴셜 스터핑이란, 유출된 사용자의 계정 정보로 데이터베이스를 구축한 후, 여러 사이트에무작위로 대입하여 로그인을 시도하는 공격입니다. 많은 사용자들이 동일한 패스워드를 여러 사이트에 사용하기때문에 한 번의 해킹으로 막심한 피해를 유발합니다.
최근 크리덴셜 스터핑은 더욱 진화하고 있습니다. 기존에는단순하게 ID/PW 입력을 통해 해킹을 일삼았다면, 최근엔특정한 정보를 얻기 위해 다양한 공격을 시도하는데요. 그 예시로 다음과 같은 3가지 공격이 있습니다.
① 특정한 API 값/페이지/파라미터를대상으로 입력값을 지속적으로 대입하여 응답을 확인하는 공격
② 특정한 목적을 가지고 다양한 지점에시도하는 공격(정상적인 서비스 로직이나, 서비스를 위한 지원기능 악용 등)
③ 대량의 파라미터 취약점을 이용한 변조및 SQL Injection 공격
최근 위험성이 대두되고 있는 크리덴셜 스터핑, 실제 피해사례와 올바른 대응 방법을 알아보겠습니다.
지난 1월, A사의 신작 게임 출시 한 달 만에 일부 사용자의 계정과 게임머니가 탈취되었습니다. 공격자는 다크웹에서 입수한 사용자들의 계정 정보를 무작위로 대입했습니다. 이후 로그인에 성공한 계정의 게임 머니를 모조리 탈취한 것인데요. 크리덴셜스터핑으로 인한 피해 신고는 약 30여 건 접수되었고, A사는추가 피해를 예방하기 위해 긴급 보안 서비스를 도입했습니다.
✅ 크리덴셜 스터핑 피해 사례 – 신작 온라인 게임
사용자 계정 정보 입수 → 계정 정보 무작위대입 → 접속 성공한 계정의 게임 머니 탈취
지난 1월, 인터넷 강의 사이트 B사에서는크리덴셜 스터핑 공격으로 인해 회원 9만 5천여 명의 개인정보가유출되었습니다. 먼저, 공격자는 다른 경로로 입수한 계정정보로 로그인을 시도해 일부 학생 계정을 탈취했는데요. 이후 학생 계정으로 사이트의 게시판에 악성 스크립트를삽입하여 직원 계정까지 탈취했습니다. 이는 사이트의 XSS*취약점을 이용한 공격이었고, B사는 관리 소홀로 인한 과징금 처분을 받기도 했습니다.
* XSS(CrossSite Scripting): 웹 서버 사용자에 대한 입력값 검증이 미흡할 때 발생하는 취약점으로, 주로여러 사용자가 보는 게시판이나 메일 등을 통해 악성 스크립트를 삽입하는 공격 기법. 일반적으로 사용자쿠키/세션 값 탈취, 키보드 입력값 탈취 등이 가능하며, 피싱 사이트와 같은 악성 사이트로의 접근 유도가 가능해 사용자에게 직접적인 피해를 줄 수 있다.
✅ 크리덴셜 스터핑 피해 사례 – 인터넷 강의 사이트
공격자가 아이디, 비밀번호 입수 → 로그인 시도 후 학생 계정 탈취 → XSS 취약점활용해 직원 계정 탈취
그렇다면,점차 고도화되는 크리덴셜 스터핑 공격에 대응하려면 어떻게 해야 할까요? SK쉴더스 EQST(이큐스트, Experts, Qualified SecurityTeam)는 보안 담당자가 실천할 수 있는 대응 방안을 단계별로 제시하고 있습니다.
① 공격자의 목적 및 현황 파악
- 공격이 시도되는 페이지의 용도 파악
- 조작되는 필드와 파라미터, 응답 값 파악
- 시도횟수와 방식 파악
② 크리덴셜 스터핑 원천 차단대응 고려
- 사용자별 시도 횟수 제한을 통한 대응 고려
- 무단 로그인에 대한 피해 방어
③ 공격자 행위 방해 고려
- 공격 페이지(URL)에 대한 IP별 접속 제한 방어
- CAPTCHA 구현을 통한 방어
④ 크리덴셜 스터핑 차단 우회 탐지기법적용
- 차단 우회를 통한 접속 탐지 기법 적용
⑤ 서비스 안정성 고려하여 대응
- 사용자가 많은 NAT IP 대역 정상접속 인지 및 예외 처리
- 차단 대응 외 추가 대응방법 다양화 모색
⑥ 사전예방 및 사후대응
- APP 구현 시 대입공격에 안전하게 서비스 로직설계
- 크리덴셜 스터핑 공격 시도에 대한 조치시행
- 다크웹 노출 계정에 대응
예측 불가능한 크리덴셜 스터핑 공격에대응하기 위해선 예방책 수립이 가장 중요합니다. SK쉴더스는 독보적인 실적과 검증된 역량을 바탕으로기업의 정보자산을 보호하는 정보보안 컨설팅 서비스를 제공하고 있는데요. 데이터 보호가 필요한 조직을대상으로, 산업 별 특화 서비스를 제공하여 정보보안을 강화합니다.
🔐 SK쉴더스 정보보안 컨설팅의 공통 서비스
- 정보보호 관리체계 컨설팅
- 개인정보보호 컨설팅
- New ICT / 종합 보안 컨설팅
- 인프라 보안체계 컨설팅
[콘텐츠 내용 출처]
- EQST insight 5월호, 크리덴셜 스터핑공격과 단계별 대응 전략
- 보안뉴스, 엔씨소프트신작 게임 TL, 크리덴셜 스터핑 공격으로 일부 이용자 계정과 게임머니 탈취
- 보안뉴스, 국내 인터넷강의 사이트 ‘대성마이맥’ 해킹... 9만 5천여명 개인정보 유출
- 머니투데이, 디지털대성등 개인정보 유출로 '억대' 과징금 처분…얼마나?