당신의 정보가 위험하다 '크리덴셜 스터핑'

스타벅스, 크리덴셜 스터핑 공격 받아...일부 고객 충전금 탈취

크리덴셜 스터핑의 전성시대, 300억 번의 악성 로그인 시도 발생

우리은행 해킹 시도, '크리덴셜 스터핑' 논란 재점화

                  -출처 보안뉴스-

 

올해 초에는 랜섬웨어가 블랙햇들 사이에서 핫했다면 하반기 기사를 보면 심심치 않게 크리덴셜 스터핑 공격이 자주 등장하는 것을 볼 수 있다.

크리덴셜 스터핑은 도대체 무엇이길래 요즘 블랙햇들 사이에서 인기가 있는것일까?

일단 크리덴셜 스터핑에 대해서 살펴보도록 하자

출처 : OWASP

 

크리덴셜(credential)이란 직역하면 신임장이라는 뜻으로 로그인 정보 및 휴대폰, 이메일 등 개인 신상과 관련한 모든 암호화 된 정보를 이야기하며 스터핑(stuffing)이란 만두 같은데 넣는 소를 얘기하는 것으로 우리가 만두를 만들때 만두 피속에 속을 마구 쑤셔 넣는 것으로 해석할 수 있다.

즉 크리덴셜 스터핑이란 공격대상 사이트(만두피)에 개인의 정보(크리덴셜)을 마구 집어 넣는(스터핑) 행위의 만두(?)와 같은 공격이다.

 

출처: 로맨스별책부록

 

그러면 크리덴셜 스터핑의 공격은 어떤 방식으로 이루어질까?

출처 OWASP

우선 나는 영어 울렁증이니 다른사람들을 위해 한글로 풀이해주도록 하겠다.

 

1. 먼저 공격자는 다크웹(나중에 이부분에 대해 다시알아보도록 하자)에서 무분별한 사이트에 개인정보를 구매한다.

2. 공격자는 자동화 공격 툴을 통해 다크웹에서 사온 아이디와 패스워드를 임의 사이트에 집어넣도록 한다.

(이 공격을 위한 가정이다. 피해자는 모든 아이디와 패스워드를 다른 사이트에도 동일하게 사용할 것이다.)

3. 성공한 아이디와 패스워드가 있다면 그를 통해 가치있는것을 훔치거나 나쁜 짓을 한다.

 

 

그러면 블랙햇은 이 공격을 통해 무엇을 할 수 있는가?

1. 가장 많이 보이는 패턴은 중고나라이다. 중고나라 장터에 피해자 아이디로 판매글을 올린 뒤 사기를 친다.

2. 충전형으로 사용하는 아이디(페이코, 카카오톡, 스타벅스)등에서 돈을 사용 혹은 이체한다.

3. 메일 계정일 경우 중요한 정보(기밀정보)를 탈취하거나 또다른 아이디/패스워드 찾기(이메일을 통한 아이디 및 패스워드 찾기)를 통해 다른 로그인 정보를 획득한다.

 

그렇다 나도 모르는 사이 나는 사기꾼이 될 수도 있고 회사 정보를 횡령했으며 내 돈은 어디론가 빠져 사라질 수 있다.

그렇다면 어떤 방식으로 우리는 크리덴셜 스터핑을 대처해야 하는가?

관리자와 사용자 두가지로 대처할 수 있을 것이다.

 

먼저 관리자 관점으로는

- 같은 아이피에서 여러 아이디와 패스워드(브루트와 달리 얘는 여러 아이디로 접근을 시도한다. 왜냐면 다크웹에서 쌍으로 아이디 패스워드를 사오기때문에..)의 접근이 비정상 적으로 많다면 아이피를 차단시키도록 한다.

- 사용자에게 주기적으로 패스워드 교체를 강요한다.

- 이중 인증을 구현한다.

- CAPTCHA와 같은 자동화 공격툴 방지 기법을 사용한다.

 

그리고 사용자의 관점으로는

- 서로 다른 사이트에는 각각의 패스워드를 사용한다.

- 메일 및 휴대폰 인증과 같은 이중 인증을 설정해 둔다.