크리덴셜 스터핑(Credential Stuffing)

크리덴셜 스터핑(Credential Stuffing)은 공격자가 유출된 사용자 계정 정보(아이디와 비밀번호)를 사용하여 다양한 웹사이트나 서비스에 무작위로 로그인 시도를 하는 자동화된 사이버 공격 기법입니다. 이는 사람들이 여러 서비스에서 같은 아이디와 비밀번호 조합을 재사용하는 습관을 악용한 공격입니다.

공격자는 새로운 비밀번호를 추측하는 게 아니라, 이미 유출된 정상적인 사용자 계정 정보를 활용하는 유효한 계정 정보를 여러 서비스에 시도하는 것이므로 여러 사이트에 동일한 계정정보를 사용하는 경우 정보유출 추가 피해가 우려되는 위험한 해킹공격입니다.

1. 공격 원리

1. 계정 정보 유출
   • 데이터 유출 사고를 통해 사용자 ID 및 비밀번호가 다크웹 등에 공개됨.
   • 해커는 이런 정보를 수집하여 데이터베이스를 구축함.
2. 자동화된 로그인 시도
   • 공격자는 수집한 계정 정보를 자동화된 도구(봇넷, 스크립트 등)를 이용해 다양한 웹사이트에서 무차별 대입(Stuffing)함.
   • 이 과정에서 CAPTCHA 우회, 프록시 활용, 분산 공격 등을 사용하여 탐지를 피함.
3. 로그인 성공 후 악용
   • 로그인에 성공한 계정을 활용하여 금전적 이익을 취함.
   • 예: 금융 계좌 탈취, 온라인 쇼핑몰 결제 정보 변경, SNS 계정 악용, 기업 내부 시스템 접근 등.

2. 크리덴셜 스터핑과 브루트포스 공격의 차이

비교 항목	크리덴셜 스터핑	브루트포스 공격
비밀번호 소스	유출된 사용자 정보	무작위 생성된 패스워드
공격 방식	기존 계정 정보를 대량 입력	가능한 모든 조합을 시도
공격 속도	빠르게 진행 가능	속도가 느리고 탐지 가능성 높음
방어 방법	MFA, 비밀번호 재사용 금지	복잡한 비밀번호 사용

3. 크리덴셜 스터핑 공격의 위험성

• 대규모 자동화 공격: 한 번의 공격으로 수천~수백만 개의 계정이 위험해질 수 있음.
• 보안 취약점 악용: 이메일, 쇼핑몰, 금융 서비스 등 여러 플랫폼에서 피해 가능.
• 기업과 개인 모두 위험: 개인 계정뿐만 아니라 기업 내부 시스템까지 노출될 수 있음.

4. 방어 및 예방 방법

✅ 개인 사용자 대응 방법

• 사이트별로 서로 다른 비밀번호 사용
  • 비밀번호 관리자(Password Manager)를 활용하여 관리.
• 이중 인증(2FA/MFA) 활성화
  • SMS, OTP, 생체 인증 등의 추가 보안 조치 적용.
• 비밀번호 변경 주기적 수행
  • 특히 데이터 유출 소식이 있는 경우 즉시 변경.
• 유출 여부 확인
  • Have I Been Pwned 등을 통해 계정 유출 여부 점검.

✅ 기업 및 서비스 제공자 대응 방법

• 비정상 로그인 탐지 및 차단
  • 다중 로그인 시도, 비정상적인 IP 접근 감지 후 차단.
• 캡차(CAPTCHA) 적용
  • 자동화된 로그인 시도를 방지하는 기능 도입.
• MFA(다중 인증) 강제 적용
  • 특히 금융 서비스, 관리자 계정 등에 필수 적용.
• 유출된 비밀번호 목록 차단
  • 이미 유출된 패스워드를 사용하지 못하도록 금지.

5. 실제 사례

• 2019년 디즈니+ 계정 유출
  • 신규 출시된 디즈니+ 서비스에서 크리덴셜 스터핑 공격으로 인해 다수의 계정이 해킹됨.
• 2018년 마이크로소프트 계정 탈취
  • 유출된 이메일/비밀번호 정보를 활용한 크리덴셜 스터핑 공격이 발생.
• 2017년 넷플릭스 계정 해킹
  • 사용자들이 동일한 비밀번호를 사용함으로 인해 넷플릭스 계정이 다크웹에서 판매됨.

🔥 결론

크리덴셜 스터핑은 유출된 계정 정보를 활용한 자동화 공격으로, 비밀번호 재사용이 가장 큰 문제입니다. 개인과 기업 모두 이중 인증 적용, 비밀번호 관리 강화, 로그인 보안 기능 추가 등의 조치를 통해 피해를 예방해야 합니다.