크리덴셜 스터핑 (Credential Stuffing)

1. 크리덴셜 스터핑 (Credential Stuffing)의 개념

개념다크웹이나 해킹으로 수집한 인증정보를 통한 다수 웹사이트 대상 봇넷 자동화 기반 Brute Force 로그인 시도 공격
  • 22년 12월 페이팔 사용자 중 3만 5천명가량의 개인정보 유출 발생 등 최근 크리덴셜 스터핑 공격이 다수 발생

 

2. 크리덴셜 스터핑 공격 절차

(1) 크리덴셜 스터핑 공격 절차도

(2) 크리덴셜 스터핑 단계별 공격 절차 설명

단계별 공격 절차공격 도구공격 방법
① 크리덴셜 획득다크웹, 피싱– ID, 패스워드 등 웹사이트 로그인 크리덴셜 획득
② 로그인 시도봇넷(로그인)– 크리덴셜을 사용하여 Brute Force 로그인 공격
③ 정보 탈취봇넷(정보탈취)– 로그인 성공 시 개인정보, 금융정보 등 공격자에 전송
  • 대다수 일반 사용자는 여러 웹사이트에 동일한 로그인 크리덴셜을 사용하므로 사회공학 공격에 취약

 

3. 크리덴셜 스터핑 공격 대응 방안

구분대응 방안세부 조치 사항
웹서비스 측면웹방화벽, IPS 도입– 비정상 시그니처 차단을 통해 봇넷 활동 차단
동적필드 난독화– 로그인 입력 필드를 쉬운 라벨 대신 난독화
OAuth 구현– 토큰 기반 권한 부여로 공격 노출 감소
사용자 측면MFA 적용OTP, 이메일 등 추가 인증을 적용
패스키 사용공개키 방식을 적용한 FIDO 기반 사용자 인증
크리덴셜 다양화– 웹사이트 마다 다른 로그인 인증 정보 사용
  • 크리덴셜 스터핑 공격 성공 시 정보 유출 도미노 현상이 발생하여 사회적 파급효과가 매우 크기 때문에 단순 인증 정보 사용은 지양하고  여러가지 추가 인증 방식 적용 필요

 
[참고]

  • OWASP, Credential_stuffing

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^