고유한 사용자 자격 증명, 즉 사용자 이름과 비밀번호가 필요한 웹 사이트와 애플리케이션이 너무 많기 때문에 이러한 모든 플랫폼에서 동일한 자격 증명을 사용하려는 유혹을 느낄 수 있습니다.
실제로 지하 범죄 사이트에서 사용할 수 있는 150억 개 이상의 손상된 자격 증명을 분석한 SpyCloud의 2022 연간 신원 노출 보고서에 따르면 유출된 암호의 65%가 최소 두 개의 계정에 사용된 것으로 나타났습니다.
다른 플랫폼에서 자격 증명을 재사용하는 사용자에게는 암호를 잊어버리는 것을 방지하는 기발한 방법처럼 보일 수 있지만 실제로는 재앙이 일어나기를 기다리고 있습니다.
시스템 중 하나가 손상되고 자격 증명이 캡처되는 경우 동일한 자격 증명을 사용하는 다른 모든 계정이 손상될 위험이 있습니다. 손상된 자격 증명이 다크 웹에서 저렴하게 판매된다는 점을 염두에 두고 쉽게 자격 증명 스터핑의 피해자가 될 수 있습니다.
크리덴셜 스터핑은 악의적인 행위자가 온라인 계정이나 시스템의 훔친 자격 증명을 사용하여 관련 없는 다른 온라인 계정이나 시스템에 액세스하려는 사이버 공격입니다.
이에 대한 예는 악의적인 행위자가 트위터 계정의 사용자 이름과 암호에 액세스하고 손상된 자격 증명을 사용하여 Paypal 계정에 액세스하려고 시도하는 것입니다.
Twitter와 Paypal에서 동일한 자격 증명을 사용하는 경우 Twitter 자격 증명 위반으로 인해 Paypal 계정이 인계됩니다.
여러 온라인 계정에서 Twitter 자격 증명을 사용하는 경우 해당 온라인 계정도 손상될 수 있습니다. 이러한 공격을 크리덴셜 스터핑이라고 하며 많은 사용자가 여러 온라인 계정에서 크리덴셜을 재사용한다는 사실을 악용합니다.
크리덴셜 스터핑 공격을 수행하는 악의적인 행위자는 일반적으로 봇을 사용하여 프로세스를 자동화하고 확장합니다. 이를 통해 많은 수의 손상된 자격 증명을 사용하고 여러 온라인 플랫폼을 대상으로 삼을 수 있습니다. 데이터 유출로 인해 손상된 자격 증명이 유출되고 다크 웹에서 판매되면서 자격 증명 스터핑 공격이 만연해졌습니다.
목차
크리덴셜 스터핑 작동 방식
자격 증명 스터핑 공격은 손상된 자격 증명을 획득하는 것으로 시작됩니다. 이러한 사용자 이름과 암호는 다크 웹에서 구입하거나 암호 덤프 사이트에서 액세스하거나 데이터 유출 및 피싱 공격을 통해 얻을 수 있습니다.
다음 단계는 여러 웹사이트에서 도난당한 자격 증명을 테스트하도록 봇을 설정하는 것입니다. 자동화된 봇은 크리덴셜 스터핑 공격에서 가장 많이 사용되는 도구입니다. 봇은 많은 사이트에 대해 많은 크리덴셜을 사용하여 고속으로 크리덴셜 스터핑을 은밀하게 수행할 수 있기 때문입니다.
여러 번의 로그인 시도 실패 후 IP 주소가 차단되는 문제도 봇을 사용하여 방지할 수 있습니다.
크리덴셜 스터핑 공격이 시작되면 성공적인 로그인을 모니터링하기 위한 자동화된 프로세스도 크리덴셜 스터핑 공격과 동시에 시작됩니다. 이러한 방식으로 공격자는 특정 온라인 사이트에서 작동하는 자격 증명을 쉽게 획득하고 이를 사용하여 플랫폼에서 계정을 탈취합니다.
공격자가 계정에 액세스할 수 있게 되면 계정으로 무엇을 할 수 있는지는 자신의 재량에 달려 있습니다. 공격자는 자격 증명을 다른 공격자에게 판매하거나, 계정에서 중요한 정보를 훔치거나, 신원을 커밋하거나, 은행 계좌가 손상된 경우 온라인 구매를 위해 계정을 사용할 수 있습니다.
크리덴셜 스터핑 공격이 효과적인 이유
크리덴셜 스터핑은 성공률이 매우 낮은 사이버 공격입니다. 실제로 Recorded Future의 위협 연구 부서인 Insikt Group의 The Economy of Credential Stuffing Attacks Report에 따르면 크리덴셜 스터핑 공격의 평균 성공률은 1~3%입니다.
성공률이 낮은 만큼 Akamai Technologies는 2021년 인터넷 보안 현황 보고서에서 2020년 Akamai에서 전 세계적으로 1,930억 건의 크리덴셜 스터핑 공격을 목격했다고 밝혔습니다.
크리덴셜 스터핑 공격이 많이 발생하고 더 널리 퍼지는 이유는 사용 가능한 손상된 자격 증명의 수와 크리덴셜 스터핑 공격을 보다 효과적으로 만들고 사람의 로그인 시도와 거의 구별할 수 없게 만드는 고급 봇 도구에 대한 액세스 때문입니다.
예를 들어 성공률이 1%에 불과하더라도 공격자가 100만 개의 손상된 자격 증명을 가지고 있다면 약 10,000개의 계정을 손상시킬 수 있습니다. 대량의 손상된 자격 증명은 다크 웹에서 거래되며 이러한 대량의 손상된 자격 증명은 여러 플랫폼에서 재사용될 수 있습니다.
이렇게 많은 양의 손상된 자격 증명으로 인해 손상된 계정 수가 증가합니다. 이것은 사람들이 여러 온라인 계정에서 자신의 자격 증명을 계속해서 재사용한다는 사실과 함께 자격 증명 채우기 공격이 매우 효과적이게 됩니다.
크리덴셜 스터핑 대. 무차별 대입 공격
크리덴셜 스터핑과 무차별 암호 대입 공격은 둘 다 계정 탈취 공격이고 OWASP(Open Web Application Security Project)에서는 무차별 암호 대입 공격의 하위 집합으로 간주하지만 둘은 실행 방식이 다릅니다.
무차별 대입 공격에서 악의적인 행위자는 사용자 이름이나 암호 또는 둘 다를 추측하여 계정을 탈취하려고 합니다. 이는 일반적으로 상황에 대한 정보나 단서 없이 가능한 많은 사용자 이름과 비밀번호 조합을 시도하여 수행됩니다.
무차별 공격은 일반적으로 사용되는 암호 패턴이나 Qwerty, 암호 또는 12345와 같이 일반적으로 사용되는 암호 구문 사전을 사용할 수 있습니다. 무차별 대입 공격은 사용자가 취약한 암호나 시스템 기본 암호를 사용하는 경우 성공할 수 있습니다.
반면 크리덴셜 스터핑 공격은 다른 시스템이나 온라인 계정에서 얻은 손상된 크리덴셜을 사용하여 계정 탈취를 시도합니다. 자격 증명 스터핑 공격에서 공격은 자격 증명을 추측하지 않습니다. 크리덴셜 스터핑 공격의 성공 여부는 사용자가 여러 온라인 계정에서 크리덴셜을 재사용하는 데 달려 있습니다.
일반적으로 무차별 암호 대입 공격의 성공률은 크리덴셜 스터핑보다 훨씬 낮습니다. 강력한 암호를 사용하여 무차별 대입 공격을 방지할 수 있습니다. 그러나 강력한 암호를 사용하면 여러 계정에서 강력한 암호를 공유하는 경우 크리덴셜 스터핑을 방지할 수 없습니다. 온라인 계정에서 고유한 자격 증명을 사용하여 자격 증명 스터핑을 방지합니다.
크리덴셜 스터핑 공격을 탐지하는 방법
크리덴셜 스터핑 공격자는 일반적으로 인간 에이전트를 모방한 봇을 사용하며 실제 인간의 로그인 시도와 봇의 로그인 시도를 구별하기가 매우 어려운 경우가 많습니다. 그러나 진행 중인 크리덴셜 스터핑 공격을 알릴 수 있는 징후는 여전히 있습니다.
예를 들어, 웹 트래픽의 갑작스러운 증가는 의심을 불러일으킵니다. 이 경우 웹 사이트에 대한 로그인 시도를 모니터링하고 여러 IP 주소에서 여러 계정에 대한 로그인 시도가 증가하거나 로그인 실패율이 증가하는 경우 이는 진행 중인 자격 증명 스터핑 공격을 나타낼 수 있습니다.
크리덴셜 스터핑 공격의 또 다른 징후는 사용자가 자신의 계정이 잠겨 있다고 불평하거나 본인이 하지 않은 로그인 시도 실패에 대한 알림을 받는 것입니다.
또한 사용자 활동을 모니터링하고 설정, 프로필 정보, 송금 및 온라인 구매 변경과 같은 비정상적인 사용자 활동을 발견하는 경우 크리덴셜 스터핑 공격의 신호일 수 있습니다.
크리덴셜 스터핑으로부터 보호하는 방법
크리덴셜 스터핑 공격의 피해자가 되지 않기 위해 취할 수 있는 몇 가지 조치가 있습니다. 여기에는 다음이 포함됩니다.
#1. 여러 계정에서 동일한 자격 증명을 재사용하지 마십시오.
자격 증명 스터핑은 여러 온라인 계정에서 자격 증명을 공유하는 사용자에 따라 달라집니다. 이것은 서로 다른 온라인 계정에서 고유한 자격 증명을 사용하여 쉽게 피할 수 있습니다.
Google 비밀번호 관리자와 같은 비밀번호 관리자를 사용하면 사용자는 자신의 자격 증명을 잊어버릴 염려 없이 고유한 비밀번호를 계속 사용할 수 있습니다. 회사는 이메일을 사용자 이름으로 사용하는 것을 방지하여 이를 시행할 수도 있습니다. 이렇게 하면 사용자가 다른 플랫폼에서 고유한 자격 증명을 사용할 가능성이 높아집니다.
#2. 다단계 인증(MFA) 사용
다단계 인증은 로그인을 시도하는 사용자의 신원을 인증하기 위해 여러 가지 방법을 사용하는 것입니다. 이것은 이메일이나 문자 메시지를 통해 사용자와 공유되는 비밀 보안 코드와 함께 사용자 이름과 암호의 기존 인증 방법을 결합하여 구현할 수 있습니다. 그들의 신원을 더 확인하기 위해. 이는 추가 보안 계층을 추가하므로 자격 증명 스터핑을 방지하는 데 매우 효과적입니다.
요청하지 않아도 보안 코드를 받게 되므로 누군가가 귀하의 계정을 도용하려고 할 때 알려줄 수도 있습니다. MFA는 매우 효과적이어서 Microsoft 연구에서는 온라인 계정이 MFA를 사용하는 경우 손상될 가능성이 99.9% 낮다고 밝혔습니다.
#삼. 장치 지문
장치 지문을 사용하여 온라인 계정에 대한 액세스를 특정 장치와 연결할 수 있습니다. 장치 지문은 장치 모델 및 번호, 사용 중인 운영 체제, 언어, 국가 등의 정보를 사용하여 계정에 액세스하는 데 사용되는 장치를 식별합니다.
그러면 사용자 계정과 연결된 고유한 장치 지문이 생성됩니다. 계정과 연결된 장치에서 권한을 부여하지 않으면 다른 장치를 사용하여 계정에 액세스할 수 없습니다.
#4. 유출된 비밀번호 모니터링
사용자가 단순히 암호의 강도를 확인하는 것이 아니라 온라인 플랫폼에 대한 사용자 이름과 암호를 만들려고 할 때 게시된 유출된 암호에 대해 자격 증명을 역확인할 수 있습니다. 이렇게 하면 나중에 악용될 수 있는 자격 증명 사용을 방지할 수 있습니다.
조직은 다크 웹에서 유출된 자격 증명에 대해 사용자 자격 증명을 모니터링하고 일치 항목이 발견될 때마다 사용자에게 알리는 솔루션을 구현할 수 있습니다. 그런 다음 사용자는 다양한 방법을 통해 신원을 확인하고 자격 증명을 변경하며 MFA를 구현하여 계정을 추가로 보호하도록 요청할 수 있습니다.
#5. 자격 증명 해싱
여기에는 사용자 자격 증명이 데이터베이스에 저장되기 전에 스크램블링하는 작업이 포함됩니다. 이렇게 하면 자격 증명이 사용할 수 없는 형식으로 저장되므로 시스템 데이터 위반 시 자격 증명의 오용을 방지할 수 있습니다.
이 방법은 절대 안전한 방법은 아니지만 데이터 유출 시 사용자가 암호를 변경할 수 있는 시간을 제공할 수 있습니다.
크리덴셜 스터핑 공격의 예
크리덴셜 스터핑 공격의 몇 가지 주목할만한 예는 다음과 같습니다.
- 2020년에 500,000개 이상의 Zoom 크리덴셜을 훔쳤습니다. 이 크리덴셜 스터핑 공격은 다양한 다크 웹 포럼에서 얻은 사용자 이름과 비밀번호를 사용하여 실행되었으며, 2013년까지 거슬러 올라가는 공격에서 얻은 크리덴셜을 사용했습니다. 훔친 줌 크리덴셜은 어둠 속에서 사용할 수 있게 되었습니다. 웹 및 기꺼이 구매자에게 저렴하게 판매
- 수천 개의 캐나다 국세청(CRA) 사용자 계정에 대한 손상. 2020년에 약 5500개의 CRA 계정이 두 번의 개별 자격 증명 공격으로 손상되어 사용자가 CRA에서 제공하는 서비스에 액세스할 수 없게 되었습니다.
- The North Face 사용자 계정 194,095개 손상. The North Face는 스포츠웨어를 판매하는 회사로 2022년 7월 크리덴셜 스터핑 공격을 받았습니다. 이 공격으로 인해 사용자의 이름, 전화번호, 성별, 로열티 포인트, 청구 및 배송 주소, 계정 생성 날짜, 그리고 구매내역.
- 2019년 Reddit 크리덴셜 스터핑 공격. 여러 Reddit 사용자가 크리덴셜 스터핑 공격을 통해 자격 증명이 손상된 후 계정이 잠겼습니다.
이러한 공격은 유사한 공격으로부터 자신을 보호해야 하는 필요성의 중요성을 강조합니다.
결론
Netflix, Hulu, disney+와 같은 스트리밍 사이트 또는 Grammarly, Zoom, Turnitin과 같은 온라인 서비스에 대한 자격 증명 판매자를 만났을 수 있습니다. 판매자가 자격 증명을 어디에서 얻는다고 생각하십니까?
이러한 자격 증명은 자격 증명 채우기 공격을 통해 얻을 수 있습니다. 여러 온라인 계정에서 동일한 자격 증명을 사용하는 경우 피해자가 되기 전에 변경해야 합니다.
자신을 더욱 보호하려면 모든 온라인 계정에 다단계 인증을 구현하고 손상된 자격 증명을 구매하지 마십시오. 이렇게 하면 자격 증명 채우기 공격이 가능한 환경이 조성됩니다.