[이슈플러스]'단순하지만 강력'…크리덴셜 스터핑에 계속 뚫리는 보안
[이슈플러스]'단순하지만 강력'…크리덴셜 스터핑에 계속 뚫리는 보안
연말·연초 사이버 공격이 잇따르면서 개인정보 유출 사고가 빈번하게 일어나고 있다. 특히 해커가 즐겨 쓰는 '크리덴셜 스터핑(Credential Stuffing)' 공격방식이 잊을 만하면 등장함에 따라 각별한
www.etnews.com
[이슈플러스]크리덴셜 스터핑 대책 내놓은 사이버보안 기업은
[이슈플러스]크리덴셜 스터핑 대책 내놓은 사이버보안 기업은
사이버 보안 기업은 해커가 애용하는 크리덴셜 스터핑을 막기 위해 여러 대응책을 내놓고 있다. 패스워드 없는 인증부터 생체 인증, 자동화된 봇(Bot), 인공지능(AI)까지 다양하다. 에프엔에스벨
www.etnews.com
- 크리덴셜 스터핑 개요
- 크리덴셜 스터핑(Credential Stuffing)은 공격자가 이미 유출된 계정 정보(ID 및 비밀번호)를 다양한 사이트에 반복적으로 대입하여 로그인에 성공하는 기법
- 공격 성공 시 개인정보 탈취, 계정 도용, 2차 피해(금융 사기, 추가 정보 유출 등)로 이어질 가능성
- 피해 사례 및 통계
- GS리테일: 9만여 명 개인정보 유출(2024년 12월~2025년 1월)
- 유출 항목: 이름, 성별, 생년월일, 연락처, 주소, 이메일 등
- 대성마이맥: 크리덴셜 스터핑 및 XSS 공격으로 9만5000명 개인정보 유출
- 워크넷(한국고용정보원): 23만6000명 정보 유출
- 한국장학재단: 3만2000명 개인정보 유출
- 해외 사례
- 2024년 스노우플레이크 고객사 크리덴셜 스터핑으로 티켓마스터, 산탄데르은행 등 대규모 데이터 탈취
- 2020년 금융업계: 전 세계적으로 41억 건의 크리덴셜 스터핑 공격 발생
- GS리테일: 9만여 명 개인정보 유출(2024년 12월~2025년 1월)
- 크리덴셜 스터핑의 위험성
- 연결된 계정 취약점: 사용자가 여러 사이트에서 동일한 ID와 비밀번호를 사용할 경우, 1개의 유출 정보로 다수의 계정 접근 가능
- 공격 성공률: 평균 0.1~0.2%로 낮지 않으며, 대규모 정보로 인해 피해 규모가 기하급수적으로 증가
- 보안 권고 및 보안 기술
- 보안 권고
- 계정별 고유 비밀번호 사용
- 2단계 인증(2FA) 활성화: 문자 인증, OTP 추가
- 정기적인 비밀번호 변경 및 로그인 시도 제한 적용
- CAPTCHA 도입으로 자동화된 공격 방지
- 보안 기업의 기술 솔루션
- 패스워드리스 인증(BSA, 에프엔에스벨류): 블록체인 기반 단일 인증키 발급으로 비밀번호 사용 제거
- 생체인증 기반 다요소 인증(MFA, 라온시큐어): 지문, 안면, 지정맥, PIN 등 다양한 2차 인증 지원
- 봇 매니저(Akamai): 머신러닝으로 악성 트래픽 탐지 및 크리덴셜 스터핑 차단
- AI 이상 탐지 시스템(FDS, 에이아이스페라): 비정상 패턴 및 IP 기반 행동 탐지
- 일회용 인증 코드(OTAC, 센스톤): 단방향 동적 토큰 인증으로 안전한 사용자 인증
- 보안 권고
- 결론
- 크리덴셜 스터핑은 단순하지만 효과적인 공격으로, 개인정보 유출 사고의 주요 2차 피해 원인이 됨
- 기업은 보안을 비용이 아닌 투자로 인식하고, 강력한 보안 솔루션과 지속적인 시스템 업데이트를 도입해야 함
- 개인은 고유 비밀번호 사용, 2단계 인증 활성화 등 기본 보안 습관을 실천하여 피해를 예방해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 유럽연합 AI법: 2025년 2월 2일부터 특정 AI 애플리케이션 금지 시행 (0) | 2025.01.23 |
|---|---|
| 워드프레스 전자상거래 사이트를 노리는 고도화된 카드 스키머 캠페인 (0) | 2025.01.23 |
| 한국 민간 분야에서 증가하는 사이버 해킹 피해 (0) | 2025.01.23 |
| Microsoft Azure 및 Microsoft 365 MFA 장애: 유럽 지역 사용자들 잠금 (0) | 2025.01.23 |
| 오픈AI의 데이터 스크래핑, 디도스 수준 피해 논란 (0) | 2025.01.21 |