오늘날 해커와 사이버 범죄자가 사용하는 사이버 공격의 수와 다양한 기술이 우려됩니다. 조직이 비즈니스를 더 잘 인식하고 조치를 취하더라도 중요한 데이터나 개인 데이터에 대한 무단 액세스를 시도하는 불법 사용자와 관련하여 지속적으로 힘겨운 싸움에 직면하고 있습니다.
더 많은 해킹이 데이터 유출로 이어지면서 사용자의 자격 증명에 대한 민감한 데이터가 해커에게 노출됩니다. 이러한 데이터는 크리덴셜 스터핑이라는 또 다른 사이버 공격 방법의 기반이 되므로 조직에 문제를 악화시킬 뿐입니다. 이러한 위반을 통해 더 많은 사용자 로그인 자격 증명이 공개됨에 따라 공격자는 다른 온라인 계정에서 사용자 이름과 암호 조합을 위반하려고 시도하는 데 사용할 수 있는 더 많은 정보에 액세스할 수 있습니다.
크리덴셜 스터핑이란 무엇입니까?
자격 증명 스터핑은 유출된 합법적인 사용자의 자격 증명을 사용하여 다른 서비스에 로그인하는 사이버 공격 유형입니다.
공격자는 일반적으로 이전 데이터 유출 또는 다크 웹 소스의 데이터를 사용하여 이메일 주소, 암호 쌍 및 암호 조합과 같은 사용자 자격 증명에 액세스합니다. 그런 다음 공격자는 이러한 훔친 자격 증명을 사용하여 스트리밍 서비스, 은행 웹사이트, 소셜 미디어 네트워크 등과 같은 여러 온라인 서비스에 로그인을 시도합니다.
이러한 형태의 신원 도용은 많은 사용자가 여러 웹사이트 및 서비스에서 동일한 자격 증명(사용자 이름 및 암호) 세트를 자주 재사용한다는 가정하에 작동합니다. 공격자는 종종 맬웨어 봇을 사용하여 위반을 자동화하고 작업을 확장하여 다수의 사용자 계정을 위반합니다.
공격자가 사용하는 기술도 더욱 정교해졌습니다. 봇은 서로 다른 IP 주소에서 여러 번 로그인 시도를 시도하여 IP 블랙리스트를 우회할 수 있습니다.
크리덴셜 스터핑 공격 유형
크리덴셜 스터핑 공격은 다양한 형태로 나타납니다. 가장 일반적인 유형의 공격은 가능한 한 많은 사용자 이름과 암호를 사용하여 계정에 액세스하려고 시도하는 무차별 암호 대입 공격입니다.
이러한 유형의 공격은 고도로 자동화되어 있으며 많은 사용자 이름/암호 조합 목록을 사용할 때 매우 효과적일 수 있습니다.
다른 유형의 크리덴셜 스터핑 공격에는 일반적인 단어나 구를 암호로 시도하는 사전 공격이 포함됩니다. 공격자가 합법적인 사용자인 것처럼 가장하여 액세스 권한을 얻으려고 시도하는 스푸핑 공격 피싱 공격은 공격자가 악의적인 링크나 첨부 파일이 포함된 이메일을 보내 사용자를 속여 자격 증명을 노출하도록 합니다.
또한 공격자는 암호 크래킹 도구 또는 사회 공학 기술과 같은 보다 정교한 방법을 사용하여 사용자 계정에 대한 액세스 권한을 얻을 수도 있습니다. 크리덴셜 스터핑 공격으로부터 보호하려면 조직과 사용자 모두 강력한 인증 수단을 사용하는 것이 중요하며 이에 대해서는 아래에서 설명합니다.
크리덴셜 스터핑 대 무차별 대입 공격
크리덴셜 스터핑은 무차별 암호 대입 공격의 범주에 속하지만 이를 더 구체적으로 만드는 몇 가지 요소가 있습니다. 무차별 암호 대입 공격은 이름에서 알 수 있듯이 암호를 추측하고 여러 조합을 시도하여 계정에 로그인을 시도하며 종종 컨텍스트나 힌트 없이 임의로 시도합니다. 반면 크리덴셜 스터핑은 다음과 같은 귀중한 정보를 제외하고 동일한 무차별 대입 로그인 시도를 수행합니다. 암호 목록 다른 침해로 인해 유출된 사용자 데이터에서 수집되었습니다.
무차별 암호 대입 공격은 가능한 모든 조합을 시도하여 암호를 사용하여 계정이나 iPhone에 로그인하려는 임의의 추측 기반 시도라고 생각하십시오. 이러한 비유에서 크리덴셜 스터핑은 실제 사용자의 사용 가능한 사용자 이름 및 암호 목록 또는 암호 조합을 사용하여 더 적은 시도로 동일한 작업을 더 효과적으로 수행하는 것을 의미합니다.
크리덴셜 스터핑 대 패스워드 스프레이
이 두 용어가 같은 의미로 사용되는 것을 자주 듣게 될 것입니다. 둘 다 봇에 의해 또는 수동으로 수행될 수 있는 무차별 대입 암호 공격의 형태이며 둘 다 비즈니스에 막대한 피해를 줄 수 있습니다.
그러나 그들은 서로 약간 다릅니다. 이 둘의 주요 차이점은 크리덴셜 스터핑 공격에서 해커가 이미 한 계정에 대한 유효한 로그인 세부 정보를 가지고 있으며 이를 사용하여 보조 계정에 대한 액세스 권한을 얻으려고 시도한다는 것입니다. 비밀번호 분무 공격에서는 자격 증명을 알 수 없습니다. 여기에서 해커는 일반적으로 사용되는 다양한 비밀번호를 사용하여 로그인을 시도합니다.
크리덴셜 스터핑은 어떻게 작동합니까?
자격 증명 스터핑은 공격자가 위반, 피싱 공격 또는 자격 증명 덤프 사이트와 같은 다른 출처에서 사용자 이름과 암호 데이터베이스를 확보하는 것으로 시작됩니다. 그런 다음 공격자는 자동화 도구를 사용하여 소셜 미디어 프로필, 전자 상거래 마켓플레이스 및 앱을 비롯한 많은 웹 사이트에 대해 도난당한 자격 증명을 테스트합니다. 로그인에 성공하면 공격자는 획득한 데이터가 합법적임을 알고 로그인을 통해 획득한 액세스 권한을 여러 가지 방법으로 사용합니다. 그들은 새로 획득한 데이터를 다른 악의적인 행위자가 사용할 수 있도록 판매하거나, 이 계정에서 피싱 메시지 또는 스팸을 보내거나, 신용 카드 번호와 같은 민감한 금융 정보에 액세스하거나, 계정 소유자의 금융을 사용하여 도용할 수 있습니다.
크리덴셜 스터핑 예시
가장 발전된 사이버 보안 시스템을 갖추고 있음에도 불구하고 해커는 여전히 사람들의 개인 데이터를 얻기 위해 온라인 계정에 잠입하려고 합니다. 그리고 불행히도 놀라운 성공률로 작동합니다. 여기 몇 가지 예가 있어요.
- Uber: 2016년 Uber는 공격자가 크리덴셜 스터핑을 통해 고객 및 운전자의 데이터에 액세스할 때 엄청난 데이터 보호 침해를 당했습니다. 회사는 공격자에게 $100,000를 기침해야 했을 뿐만 아니라 위반에 대해 $1.2 백만의 벌금도 물었습니다.
- HSBC: 대형 은행 회사는 2018년 공격자가 이름, 주소, 계좌 번호, 거래 보고서 등을 포함한 광범위한 개인 데이터를 훔쳐 고객의 자격 증명 중 일부가 손상되는 것을 목격했습니다.
- Superdrug: 2018년에 또 다른 빅 데이터 유출이 발생했습니다. 이번에는 약 20,000명의 Superdrug 고객 데이터에 영향을 미쳤습니다. 해커는 액세스 권한을 얻은 다음 회사에서 몸값을 요구했습니다.
크리덴셜 스터핑 공격의 위험 요소는 무엇입니까?
공격자가 크리덴셜 스터핑을 통해 자신의 계정에 액세스함으로써 개인이 입을 수 있는 금전적 손실 외에도 조직도 심각한 결과에 직면할 수 있습니다.
실제로 Ponemon Institute의 보고서에 따르면 크리덴셜 스터핑으로 인한 애플리케이션 다운타임, 고객 이탈 및 IT 비용으로 인해 기업은 연간 약 $6백만의 손실을 입습니다. 뿐만 아니라, 규제 당국이 점점 더 이러한 유형의 공격에 대해 조직에 책임을 묻고 있기 때문에 회사는 GDPR과 같은 데이터 개인 정보 보호법에 따라 법적 조치에 직면할 수 있습니다.
크리덴셜 스터핑 공격을 탐지하는 방법
귀하 또는 귀하의 조직이 이 방법을 통해 표적이 되고 있음을 암시하는 몇 가지 숨길 수 없는 징후가 있습니다.
여러 계정에서 여러 번 로그인 시도 확인
로그인이 급격히 증가하고 비정상적으로 증가하는 경우 자격 증명 스터핑 공격을 수행하는 자동화된 봇이 있을 가능성이 있습니다. 반복적인 로그인 시도를 감지한 이전 세션의 시간 지연 및 IP 주소 금지의 형태로 장애물을 놓을 수 있습니다. 그러나 일부 봇은 다른 장치 및 IP 주소에서 오는 것처럼 보이게 하여 실제 로그인처럼 보이는 것을 시뮬레이션할 수 있습니다.
사이트 트래픽 급증으로 인한 가동 중지 시간 동안 경계 유지
서버를 압도하는 웹 사이트 트래픽 급증으로 인해 갑작스러운 중단 시간이 발생하는 경우 이는 대규모 봇넷 지원 크리덴셜 스터핑 공격의 징후일 수도 있습니다.
평소보다 높은 로그인 실패율을 주시하십시오.
인적 오류 및 기타 자연적인 문제로 인해 일부 로그인 시도가 실패할 것으로 예상하는 것이 합리적입니다. 그러나 로그인 실패율이 정상보다 훨씬 높으면 크리덴셜 스터핑을 통해 무차별 대입 방식으로 로그인하려는 봇이 다시 활동할 수 있습니다. 위치와 트래픽 패턴은 물론 이러한 경우 반복 로그인이 시도되는 속도를 살펴보십시오.
크리덴셜 스터핑의 원인
앞서 논의한 바와 같이 크리덴셜 스터핑은 훔친 사용자 이름과 암호를 사용하여 온라인 계정에 대한 무단 액세스 권한을 얻는 사이버 공격 유형입니다.
이러한 형태의 공격은 데이터 유출로 인해 해커가 대량의 사용자 자격 증명을 쉽게 획득할 수 있게 됨에 따라 점점 보편화되고 있습니다.
크리덴셜 스터핑의 주요 원인 중 하나는 사용자가 여러 계정에 동일한 사용자 이름과 비밀번호 조합을 사용하는 비밀번호 재사용입니다. 이렇게 하면 공격자가 다른 사이트에서 시도하기 위해 하나의 자격 증명 세트만 필요하기 때문에 액세스 권한을 훨씬 쉽게 얻을 수 있습니다. 또한 취약한 암호는 크리덴셜 스터핑 공격의 주요 요인이기도 합니다. 사용자가 "123456" 또는 "password"와 같이 쉽게 추측할 수 있는 암호를 선택하면 이러한 유형의 공격에 훨씬 더 취약합니다.
마지막으로, 대규모 크리덴셜 스터핑 공격은 데이터 유출을 통해 이메일 주소 및 관련 비밀번호 목록을 구매하거나 획득한 악의적인 행위자에 의해 활성화될 수도 있습니다.
크리덴셜 스터핑 공격으로부터 보호하기 위해 조직과 사용자는 모두 2단계 인증 및 암호 관리자와 같은 강력한 인증 수단을 사용해야 합니다. 또한 사용자는 다른 서비스에서 동일한 암호를 재사용해서는 안 되며 항상 온라인 계정에 대해 길고 복잡한 암호를 선택해야 합니다.
가장 효과적인 예방법은 다음과 같습니다.
자격 증명 스터핑을 방지하는 방법에 대한 팁
크리덴셜 스터핑 공격을 탐지하기 위해 위에서 설명한 기술 외에도 이를 모두 방지하기 위해 따를 수 있는 몇 가지 간단한 팁이 있습니다.
다단계 인증(MFA) 시행
검증된 MFA(Multi-Factor Authentication)는 크리덴셜 스터핑 공격을 방지하기 위한 확실한 방법입니다. 이러한 유형의 공격은 다른 곳에서 사용할 수 있는 자격 증명을 사용하여 시스템에 로그인하는 데 의존하기 때문에 토큰, 두 번째 암호 또는 생체 인식 지문이나 얼굴 인식과 같은 다른 인증 계층을 추가하면 공격을 무효화하는 데 도움이 됩니다. MFA를 2단계 인증(TFA)의 업그레이드 버전으로 생각하십시오.
디바이스 핑거프린팅 시도
사용자 장치 및 수신 세션에 대해 수집된 정보를 기반으로 특정 "지문"을 찾아 잠재적인 크리덴셜 스터핑 공격을 탐지할 수 있습니다. 지문은 기본적으로 브라우저, 언어, 운영 체제, 표준 시간대 및 함께 ID를 제안하는 기타 매개변수의 조합입니다. 예를 들어, 동일한 지문이 짧은 시간에 여러 번 표시되거나 다른 요인으로 인해 의심스러워 보이는 경우 크리덴셜 스터핑 공격일 가능성이 높으므로 이를 방지하기 위해 신속하게 조치를 취해야 합니다.
CAPTCHA 배포
로그인할 때 실제 사람이 있는지 테스트하는 간단한 CAPTCHA 프로그램도 크리덴셜 스터핑 공격을 방지하는 데 도움이 될 수 있습니다. 그러나 공격자가 헤드리스 브라우저를 사용하여 CAPTCHA 테스트를 우회하는 데 점점 능숙해지고 있기 때문에 어느 정도만 가능합니다.
헤드리스 브라우저의 액세스 차단
그래픽 사용자 인터페이스가 없고 대신 명령줄 인터페이스를 통해 웹 페이지를 제어하는 헤드리스 브라우저는 CAPTCHA 및 위에 언급된 기타 도구를 우회하기 위해 공격자가 자주 사용합니다. 그들이 사용하는 특정 스크립트를 사용하여 이러한 헤드리스 브라우저를 통해 들어오는 공격을 발견할 수 있습니다. 추가 예방 조치를 취하고 취약성으로부터 추가로 보호하려면 헤드리스 브라우저에 대한 액세스를 완전히 차단해야 합니다.
IP 블랙리스트 적용
다른 곳에서 얻은 손상된 자격 증명에 액세스할 수 있음에도 불구하고 공격자가 자격 증명 스터핑 공격을 합법적인 것처럼 보이게 만드는 데 사용하는 IP 주소는 여전히 제한적일 수 있습니다. 따라서 이러한 공격에 대해 조치를 취하는 한 가지 방법은 여러 계정에 로그인을 시도하는 IP를 차단하거나 샌드박스하는 것입니다. 이것은 또한 계정에 로그인하는 데 사용된 마지막 몇 개의 IP를 의심스러운 IP의 IP와 비교하는 데 사용할 수 있는 로그 기록이 유용한 곳이기도 합니다.
속도 제한 비거주 트래픽 소스
크리덴셜 스터핑 공격에 대처하는 또 다른 방법은 Amazon Web Services와 같은 의심스러운 소스에서 오는 트래픽에 대해 엄격한 속도 제한을 적용하는 것입니다. 이들은 대부분의 경우 봇 트래픽 및 속도 제한으로 웹 사이트에 대한 요청 수에 제한을 두어 자격 증명 스터핑의 전형적인 활동일 수 있는 활동의 홍수를 차단합니다.
이메일 주소를 사용자 ID로 사용하지 마십시오.
사람들이 계정 로그인 시 이메일 주소를 사용자 ID로 사용하는 것은 드문 일이 아닙니다. 하지만 이렇게 하면 공격자가 여러 웹사이트에서 이메일 ID를 사용자 이름으로 사용하려고 시도할 수 있으므로 자격 증명 스터핑을 전술로 쉽게 사용할 수 있습니다. 사용자에게 이메일 주소를 계정 ID 또는 사용자 이름으로 사용하지 않도록 하거나 계정 생성 및 로그인 기준으로 삼아 이를 방지해야 한다는 점을 분명히 하십시오.
강력한 암호 적용
사이버 공격으로부터 보호하는 또 다른 방법은 모든 사용자 계정에 강력한 암호가 있는지 확인하는 것입니다. 암호가 길수록 해커가 해독하기가 더 어렵습니다. 비밀번호는 문자, 숫자 및 기호를 조합하여 최소 8자 이상이어야 합니다.
봇 감지 및 관리 도구 채택
자격 증명 스터핑에 대한 가장 효과적인 보호는 포괄적인 봇 감지 및 관리 서비스. 이들은 속도 제한을 IP 평판 데이터베이스와 결합하여 의심스러운 로그인 시도를 차단하고 합법적인 로그인은 정상적으로 진행되도록 합니다. 씨디네트웍스 제공 Bot Shield, 크리덴셜 스터핑을 포함한 악성 봇 트래픽을 식별하고 즉각적인 조치를 취할 수 있도록 알림을 보낼 수 있는 클라우드 기반 봇 관리 솔루션입니다.
게다가 CDNetworks와 같은 일부 솔루션은 Application Shield 웹 애플리케이션 방화벽(WAF)을 콘텐츠 전송 네트워크(CDN)와 통합하여 크리덴셜 스터핑 공격으로부터 보호할 수도 있습니다.