사이버안전센터 운영

연예인 핸드폰 해킹 주범! ‘크리덴셜 스터핑’은 무엇일까?
제목 연예인 핸드폰 해킹 주범! ‘크리덴셜 스터핑’은 무엇일까?
작성자 사이버보안팀 등록일 2022-04-21 조회수 3769
내용
세계를 위협하는 공격, 크리덴셜 스터핑(Credential Stuffing)이란?

크리덴셜 스터핑(Credential Stuffing)이란 공격자가 사용자의 계정, 비밀번호, 기타 여러 가지 암호화된 개인 정보(Credential)를 여러 방식으로 획득하여 사용자가 이용할 만한 시스템 및 사이트에 방문 후 무작위로 대입(Stuffing)하는 공격 방식을 말합니다.



2018년 크리덴셜 스터핑 상위 공격 대상 국가


지난 2019년, 보안업체 AKAMAI에서 발표한 '<인터넷 보안 현황 보고서> 크리덴셜 스터핑: 공격과 경제 특별 미디어 보고서'에 따르면 2018년 크리덴셜 스터핑 상위 발생 국가는 미국과 인도, 캐나다 순으로 독일, 호주에 이어 대한민국이 크리덴셜 스터핑 발생 국가 6위로 선정되었습니다.

 ​

크리덴셜 스터핑의 특징은 제한된 시간 내 많은 계정에서 동시다발적으로 로그인을 시도한다는 것인데요. 로그인 실패 수가 많고, 트래픽에 변화가 한순간 증가하면서 시스템 이용이 불가능해지는 것이 특징입니다.

나쁜 보안 습관이 공격을 부른다! 크리덴셜 스터핑 공격 원리

사용자는 하나의 시스템 혹은 사이트만 이용하지 않고, 다중의 시스템과 사이트를 이용합니다. 해당 시스템과 사이트의 사용자 인증 수단은 주로 아이디와 비밀번호를 입력하여 로그인하는 방식인데요. 대부분의 사람들이 계정과 비밀번호를 모두 다르게 설정하면 기억하기 힘들기 때문에 여러 서비스에 같은 계정 정보를 이용합니다.


크리덴셜 스터핑 공격 방법(출처: 인포섹 EQST insight)


그러나 여러 서비스에 같은 계정을 사용할 경우 단 한 곳의 계정 정보가 유출되어도 문제가 발생하게 됩니다. 공격자는 유출된 계정 정보로 해당 사용자가 사용할만한 시스템 및 사이트를 찾아 유출된 정보를 무작위로 대입함으로써 크리덴셜 스터핑이 발생합니다. 크리덴셜 스터핑의 성공 확률은 0.1~0.2%입니다. 낮은 수치로 보일 수 있지만 수백~수천만 건의 유출된 정보 중 0.1~0.2%는 결코 적은 수치가 아닙니다.

 ​

예를 들어, 100만 건의 정보 유출이 있었고 그중 1~2만 건의 계정 접근에 성공하여 각 계정으로 10개의 시스템이나 사이트를 공격한다면, 10~20만의 피해가 발생하게 되는 것입니다.


크리덴셜 스터핑 공격 사례 ​

크리덴셜 스터핑은 하나의 로그인 정보만 탈취하면 다른 계정도 같이 공격할 수 있어 공격자들이 호시탐탐 기회를 노리는 공격 기법입니다. 최근 공격자들이 이러한 절호의 기회를 포착한 사례가 잇달아 발생했습니다.

 ​

연예인 핸드폰 해킹 사건

최근 일부 연예인들의 스마트폰이 해킹되어 개인정보가 유출되었다는 이슈가 화제였습니다. 보안 업계에 따르면 배우 A씨는 ‘크리덴셜 스터핑’ 방식의 해킹을 당한 것으로 드러났는데요. 해커가 불법으로 개인 정보를 입수해 클라우드 계정에 접근, 개인 정보를 빼낸 것으로 보인다는 의견이 있었습니다. 휴대전화 제조사는 “당사의 클라우드가 해킹 당한 것이 아니라 일부 사용자 계정이 외부에서 유출된 후 도용돼 사건이 발생했다”라며 크리덴셜 스터핑 수법에 무게를 실었습니다.

 ​

유명 커피 프랜차이즈 충전금 탈취 사건

유명 커피 프랜차이즈의 충전금이 탈취된 사건이 발생했습니다. 해당 커피전문점은 적립 제도를 운용 중이었고, 일부 매장에서는 ‘현금 없는 매장’을 운영하며 신용카드나 충전 카드 사용을 장려하고 있는데요. 범인은 이러한 상황을 인지하고, 크리덴셜 스터핑 방식으로 공격하여 성공한 ID의 충전 금액을 옮기는 수법으로 사용자의 돈을 훔쳤습니다. 공격이 발생한 직후 해당 커피전문점은 크리덴셜 스터핑 공격이 이루어진 아이디와 비밀번호를 초기화하고, 공격 사실을 피해자에게 메일과 앱 푸시로 알렸습니다. 아울러, 피해 고객들에게는 피해 금액을 100% 복구하겠다고 밝혔습니다.

​ 

대형마트 회원 개인정보 유출 사건

크리덴셜 스터핑 공격으로 한 대형마트의 회원 계정에 로그인을 시도한 사례가 발생했습니다. 마트와 연계된 카드사 측은 1개의 카드가 4만 9,007명의 ID 와 연동된 것을 이상하게 여겨 대형마트 측에 문의하였고, 조사 결과 해당 계정들이 탈취된 사실을 확인했습니다. 대형마트는 고객 정보가 해커에게 직접 유출되지는 않았다고 설명했으며, 해당 카드의 적립 및 사용이 불가능하도록 조치했음을 밝혔습니다. 또한, 동일한 카드가 다수 등록될 경우 이상 행위로 간주하고 담당자에게 즉시 통보되도록 관제 운영 기준을 강화했다고 전했습니다.

 ​

간편 결제 애플리케이션 부정 결제 사건

누적 1,700만 명이 가입한 모바일 금융 서비스에서 이용자 몰래 결제가 진행된 사고가 발생했습니다. 피해자는 총 8명으로 금액은 983만 원입니다. 금융사 측은 당사에서는 고객 결제 비밀번호를 수집하지 않으며, 피해 고객의 개인 정보가 다른 경로로 유출돼 간편 결제에 이용된 것이라고 주장했습니다. 하지만 한국 간편 결제 앱 시장에서 가장 많은 이용자를 확보한 금융사에서 이 같은 사고가 발생했다는 사실만으로 보안 취약의 문제가 여실히 드러났다는 지적입니다.



크리덴셜 스터핑, 예방할 방법은?


크리덴셜 스터핑을 완벽하게 방어할 방법은 없습니다. 따라서 공격자가 인증정보를 입수하는 과정을 최대한 어렵게 만들어야 합니다. 다음과 같은 방법을 통해 크리덴셜 스터핑으로부터 피해를 예방할 수 있습니다.

 ​

비밀번호 관리

1. 충분히 길고 높은 복잡도의 비밀번호 설정

2. 다른 계정에서 중복으로 쓰지 않는 독립적인 비밀번호 사용

3. 주기적인 비밀번호 변경

4. 서비스 및 사이트별 비밀번호 분류

 ​

다중 인증 방식(MFA : Multi-factor Authentication) 적용

1. 계정마다 생체 인증, 문자 인증, 전화 인증 등 다양한 방법의 2차, 3차 인증 설정

2. 로그인 실패 시 로그인 차단 시스템 적용

 ​

의심스러운 메일 URL 열람 금지

스팸 메일이나 의심스러운 URL을 통해 개인 정보를 탈취하여 악의적으로 사용할 수 있기 때문에 열람하지 않고 바로 스팸 차단하거나 삭제해야 합니다. 만약, 실수로 열람했다면 IT 보안 관계자에게 문의하여 범죄 예방조치를 받도록 합니다.


누구나 개인 정보 유출 피해자가 될 수 있습니다. 하지만 충분히 대처할 수 있는 문제인 만큼 최소한의 피해를 막기 위해선 기본적인 보안 수칙을 지키는 것이 중요합니다. 소중한 정보를 지키는 길, 예방이 최우선입니다.


이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.   


 
이전 글&다음 글
이전 글 늘어나는 개인 정보 거래, 다크웹을 통한 크리덴셜 스터핑 대응법
다음 글 사이버 범죄의 근원지, 다크웹이란?


  • 담당부서 : 사이버보안팀
  • 전화번호 : 02-6908-8235
  • 담당자 : 심재인

Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

평균 4.1점 / 27명 참여