보안 뚫리고 과징금 폭탄…'크리덴셜 스터핑'에 기업 울상
보안 뚫리고 과징금 폭탄…'크리덴셜 스터핑'에 기업 울상
산업 > IT 뉴스: 외부에서 확보한 아이디·비밀번호로 로그인을 시도해 개인정보를 빼내는 해킹 시도가 크게 늘면서 정보기술(IT) 기업들에...
www.sedaily.com
- 크리덴셜 스터핑 공격 개요
- 해커가 외부에서 유출된 아이디·비밀번호 조합을 이용해 기업 로그인 시스템에 대량 로그인 시도
- 자동화된 해킹 도구를 활용하여 일반적인 로그인 시도로 위장
- 최근 정교한 자동화 공격 기법이 발전하면서 피해 사례 증가
- 최근 주요 피해 사례
- GS샵: 158만 건의 개인정보 유출 사고 발생
- SPC그룹 해피포인트(섹타나인): 1만 7,000여 명의 계정 정보 유출, 14억 7,700만 원 과징금 부과
- 기업 대응의 어려움
- 공격자가 외부에서 유출된 정보를 이용하기 때문에 기업이 직접적인 차단이 어려움
- 해커들이 IP를 계속 변경하며 공격해 방어가 어려운 상황
- 과도한 로그인 차단 시 정상 사용자도 접속 불가능한 부작용 발생
- 중소기업의 경우 보안 시스템 구축 비용 부담이 커서 대응이 어려움
- 개인정보보호위원회의 입장
- 개인정보 유출 자체보다 탐지 및 대응 조치 부족에 대한 책임을 기업에 요구
- 공격 발생 시 로그인 요청이 평소 대비 수십~수백 배 증가하므로 이상 탐지가 가능하다는 입장
- 기업이 충분한 탐지·차단 시스템을 갖추지 못하면 과징금 부과 가능
- **보안 권고
- 다중요소인증(MFA) 활성화: 로그인 시 추가 인증 절차 도입
- 비밀번호 유출 탐지 시스템 도입: 다크웹 및 데이터 유출 정보를 모니터링하여 사전 차단
- 비정상 로그인 탐지 및 대응
- 로그인 횟수 제한 및 여러 차례 실패 시 자동 차단
- CAPTCHA 도입으로 자동화 공격 차단
- 의심 로그인 패턴 분석 및 AI 기반 이상 탐지 시스템 구축
- 정부 및 기업 가이드라인 마련
- 크리덴셜 스터핑 방어를 위한 법적 기준 및 기업 가이드라인 명확화 필요
- 기업의 보안 조치를 고려한 합리적 과징금 부과 체계 마련
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 중소기업 대상 해킹 피해 증가, 보안 강화 시급 (0) | 2025.03.17 |
|---|---|
| 4만 9천 개 이상의 보안 취약한 출입 관리 시스템 온라인에 노출 (0) | 2025.03.17 |
| NIA, 자문위원 개인정보 유출, 보안사고 반복 발생 (0) | 2025.03.17 |
| Silent Push, Lazarus 그룹 인프라 침투 및 ByBit 해킹 관련 정보 확보 (0) | 2025.03.15 |
| Njrat 캠페인, Microsoft Dev Tunnels 악용하여 C2 서버 연결 (0) | 2025.03.15 |