크리덴셜 스터핑(Credential Stuffing)

크리덴셜 스터핑(Credential Stuffing)

크리덴셜 스터핑은 사용자가 여러 사이트, 서비스에서 동일한 ID와 패스워드를 사용할 때 당할 수 있는 공격이다. 예를 들어 비교적 취약한 사이트에서 여러 공격을 통해 특정 사용자의 계정 정보를 얻어내고 해당 계정 정보를 다른 사이트에 적용해 보는 것이다. 이때, 여러 사이트를 동일한 ID, 패스워드를 사용하는 사용자의 경우 크리덴셜 스터핑 공격에 당할 수 있다.

이러한 크리덴셜 스터핑은 보안이 잘 되어있는 대규모 사이트에도 충분히 적용될 수 있기 때문에 위험하다. 아무리 보안이 잘되어 있는 사이트여도 사용자가 모두 동일한 계정 정보를 사용한다면 타 사이트에서 탈취 당한 계정임에도 불구하고 보안이 잘 되어있는 사이트의 계정이 공격당할 수 있기 때문이다.

이러한 크리덴셜 스터핑을 방지하기 위해 최근 여러 사이트들은 2차 인증이라는 기능을 사용한다. 타 사이트에서 계정 정보를 얻어왔더라도 정당한 사용자인지 한번 더 확인하는 과정을 더한 것이다. 대부분 필수가 아닌 선택 사항으로 2차 인증을 제공하는데 크리덴셜 스터핑을 피하기 위해서는 2차 인증을 반드시 해야할 필요가 있다.

크리덴셜 스터핑 과정

 

이러한 크리덴셜 스터핑을 예방하기 위해서는 사이트 ,서비스를 제공자는 이중 인증(tow-factor authentication)을 제공하는 것이다. 해당 과정을 통해 현재 로그인하는 사람이 계정의 주인이 맞는지 추가 인증 수단을 통해 검증하는 것이다. PIN 번호, 휴대폰, E-mail, 생체 인증 등의 과정을 추가하는 것이다. 또한 사용자의 태도도 중요하다. 서비스에서 제공하는 이중 인증을 사용하고 비밀번호는 될 수 있으면 사이트마다 다른 비밀번호를 사용하는 것이 좋다. 또한 사용하는 비밀번호는 길게 여러 타입의 문자를 이용하여 만드는 것이 좋고, 주기적으로 변경해주는 것도 필요하다.

 

최근 이슈(2021 2월 5일)

드디어 국내에 출시한 음원 스트리밍 사이트 스포티파이(Spotify)에서 보안사고가 발생했다. 공격자들이 크리덴셜 스터핑을 통해 약 10만 개 계정의 정보를 훔쳐간 것이다. 이 계정들은 타 크리덴셜 정보를 구매하거나 불법적인 방법으로 얻은 정보를 통해 스포티파이에 적용하여 얻어낸 정보로 추정된다. 약 3개월 전에도 동일하게 크리덴셜 스터핑 공격에 당한 스포티파이는 3개월 전 30만 ~ 35만 명의 계정 정보가 영향을 받았으며 이번 사고에서도 약 10만 명의 사용자가 영향을 받은 것으로 추정된다.

 

[2.5 보안 이슈투데이] 크롬 패치, 큐버네티스 폭격, 스포티파이 (boannews.com)

[2.5 보안 이슈투데이] 크롬 패치, 큐버네티스 폭격, 스포티파이

인기 스트리밍 서비스 스포티파이, 크리덴셜 스터핑에 당해 와 (boannews.com)

인기 스트리밍 서비스 스포티파이, 크리덴셜 스터핑에 당해 와