How New AI Agents Will Transform Credential Stuffing Attacks
- 배경
- 2023~2024년 인증정보 탈취는 웹 애플리케이션 공격의 80%를 차지한 주요 침해 벡터
- 인포스틸러, 피싱, 데이터 유출을 통한 인증정보가 다크웹에서 저가에 유통되고 있음
- 기존 공격 자동화는 개별 애플리케이션별 맞춤 스크립팅이 요구돼 확장성에 한계 존재
- 새로운 위협 요소: Computer-Using Agent (CUA)
- OpenAI의 Operator 같은 CUA는 사람처럼 웹 애플리케이션에 직접 상호작용 가능
- 그래픽 UI 기반 SaaS 환경에서도 커스텀 코드 없이 로그인 시도 등 일반 행위 수행 가능
- 수천 개의 SaaS 애플리케이션에 인증정보를 자동화하여 대규모 크리덴셜 스터핑 공격 가능
- 기존 자동화 방식과의 차별점
- 기존 자동화는 CAPTCHA, 봇 차단, UI 비표준화 등으로 인해 한계 존재
- 수작업 혹은 고도화된 스크립팅이 요구됨에 따라 공격자 리소스가 분산됨
- CUA는 범용성 높은 인터페이스 해석 능력을 통해 확장성과 효율성을 획득
- 보안 위협 시나리오
- 피싱 또는 인포스틸러로 유출된 인증정보를 CUA가 수천 개의 SaaS 앱에 자동 시도
- 사용자 패스워드 재사용으로 인해 단일 정보 유출이 다중 계정 접근으로 확대
- MFA 미적용 및 조건부 접근 정책 미흡한 환경에서 높은 성공률 가능
- 공격의 예측 가능한 진화
- OpenAI Operator 이외에도 유사한 AI CUA 등장 가능성 높음
- 향후 악성 목적으로 특화된 AI CUA 출현 가능성 존재
- 인증정보 기반 공격이 다시 “방대한 대상에 무차별 공격” 방식으로 회귀할 가능성
- 보안 권고
- 식별자 기반 공격 대응
- 사용자 인증정보 재사용 점검 및 폐기
- 모든 애플리케이션에 다중인증(MFA) 도입
- ID 기반 접근제어(Identity-Centric Zero Trust) 모델 도입
- 자동화 탐지 및 방어
- 봇 탐지 시스템 강화 및 CAPTCHA 적용
- 로그인 실패 이벤트 및 자동화 시도 패턴의 이상 탐지
- 패스워드 관리
- 패스워드 재사용 탐지 및 사용자 알림
- 기업 내부 패스워드 관리자 도입 권고
- 교육 및 인식 제고
- 사용자 대상 피싱 및 인포스틸러 예방 교육
- 인증정보 유출 시 신속한 비밀번호 변경 가이드 제공
- 식별자 기반 공격 대응
- 결론
- CUA는 저숙련 공격자도 고도의 자동화를 구현할 수 있는 수단으로, ID 공격 표면을 대규모로 확대
- 보안 조직은 ‘AI 기반 자동화 위협’을 기존 방어 체계 내 포함시키고, 사전 식별 및 대응 체계를 수립해야 함
- 향후 AI 봇 탐지와 ID 보안 강화는 SaaS 보안의 핵심 요소가 될 것
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| LLMjacking, 클라우드 기반 생성형 AI 대상 공격의 부상 (0) | 2025.03.25 |
|---|---|
| APT28의 고도화된 HTA 트로이목마 난독화 기법 분석 (0) | 2025.03.24 |
| 대규모 공격 캠페인, 4,000개 이상 ISP 네트워크 대상 인포스틸러 및 크립토 마이너 배포 (0) | 2025.03.24 |
| DragonForce 랜섬웨어 분석 (0) | 2025.03.24 |
| Ghost (Cring) 랜섬웨어 위협 분석 보고서 (1) | 2025.03.24 |