매년 수백만 개의 계정이 크리덴셜 스터핑 공격의 희생양이 됩니다. 

이 방법은 2022년에 한 인증 제공업체가 합법적인 계정 로그인 2회당 평균 1회의 크리덴셜 스터핑 시도를 보고할 정도로 널리 보급되었습니다.

그리고 지난 몇 년 동안 상황이 개선된 것 같지는 않습니다. 

이 게시물에서는 크리덴셜 스터핑의 작동 방식, 공격자가 사용하는 데이터 및 이러한 공격으로부터 조직의 리소스를 보호하는 방법에 대해 자세히 설명합니다.

크리덴셜 스터핑 : 인터넷 사용자의 개인 정보나 인증 자격 증명을 빼내기 위해 사이버 공격자가 가짜 웹사이트나 악의적인 소프트웨어를 사용하여 정보를 훔치는 행위

크리덴셜 스터핑은 사용자 계정을 손상시키는 가장 효과적인 방법 중 하나입니다. 

공격자는 다양한 플랫폼에 등록된 계정에 대해 미리 얻은 사용자 이름과 비밀번호의 방대한 데이터베이스를 활용합니다. 그런 다음 다른 온라인 서비스에서 이러한 자격 증명을 대량으로 시도하고 일부가 작동하기를 바랍니다.

이 공격은 많은 사람들이 여러 서비스에 동일한 암호를 사용하는 불행한 습관을 먹잇감으로 삼고 때로는 모든 것에 대해 단일 암호에 의존하기도 합니다. 

결과적으로 공격자는 필연적으로 피해자가 다른 플랫폼에서 사용한 비밀번호로 계정을 가로채는 데 성공합니다.

데이터 침해는 사이버 범죄자에게 가장 인상적인 수의 암호를 제공합니다. 

기록 보유자는 무려 30억 개의 기록을 노출한 2013년 Yahoo! 침해 사건입니다.

서비스는 일반적으로 암호를 일반 텍스트로 저장하지 않고 대신 소위 해시를 사용한다는 점에 유의해야 합니다. 

침해에 성공한 후 공격자는 이러한 해시를 해독해야 합니다. 암호가 간단할수록 암호를 해독하는 데 걸리는 시간과 리소스가 줄어듭니다. 따라서 암호가 약한 사용자는 데이터 유출 후 가장 위험합니다.

그러나 사이버 범죄자가 정말로 필요로 하는 경우 세계에서 가장 강력한 암호라도 해시가 유출되어 노출되면 결국 해독될 가능성이 높습니다. 따라서 비밀번호가 아무리 강력하더라도 여러 서비스에서 사용하지 마십시오.

도난당한 암호 데이터베이스가 계속 증가하고 새로운 데이터가 축적되는 것은 놀라운 일이 아닙니다. 

그 결과 지구의 인구를 훨씬 초과하는 항목이 포함된 거대한 기록 보관소가 생성됩니다.

2024년 1월, 260억 개의 엄청난 기록이 포함된 현재까지 알려진 가장 큰 암호 데이터베이스가 발견되었습니다.

크리덴셜 스터핑 공격으로부터 조직의 리소스를 보호하려면 다음과 같은 보안 조치를 구현하는 것이 좋습니다.

- 사이버 보안 모범 사례에 대한 직원 교육, 암호 재사용의 위험성을 강조해줍니다.

-  합리적인 비밀번호 정책을 개발하고 시행해줍니다.

- 사용 장려 비밀번호 관리자 강력하고 독특한 캐릭터 조합을 생성하고 저장합니다. 

- 또한 응용 프로그램은 데이터 침해를 모니터링하고 이미 알려진 데이터베이스에 있는 경우 암호를 변경할 것을 권장합니다.

- 마지막으로, 2단계 인증. 

크리덴셜 스터핑뿐만 아니라 다른 계정 탈취 공격으로부터 보호하는 가장 효과적인 방법입니다.

또한 최소 권한 원칙을 적용하여 성공적인 크리덴셜 스터핑 공격의 영향을 사전에 완화하고 모든 회사 장치에서 신뢰할 수 있는 보호 기능을 사용합니다.

[출처] 

 

What is credential stuffing?

How attackers use databases of stolen or leaked passwords to carry out credential stuffing attacks.

www.kaspersky.com