계정 해킹, 크리덴셜 스터핑(Credential Stuffing)이란?

계정 해킹, 크리덴셜 스터핑(Credential Stuffing)이란?

 

요즘 보안 이슈 중의 하나가 계정 탈취를 목적으로 하는 해킹 기법인 크리덴셜 스터핑(Credential Stuffing)입니다. 이미 암시장에서 공유되는 계정 정보를 이용하여 다른 사이트에 무작위로 대입하는 방법으로 계정을 탈취하는 것입니다.

아래는 chubb.com에 올라온 글에 나오는 내용의 일부입니다.

 

 

크리덴셜 스터핑 공격은 하나 이상의 사용자 계정에 무단 액세스하기 위한 무차별 대입 사이버 공격의 일종입니다. 범죄자는 자동 시스템을 이용, 이전에 침해된 적이 있는 대량의 사용자 이름과  암호 조합을 웹 사이트 로그인 필드에 입력하여 기존 계정과 일치하는 것이 있는지 확인합니다. 그런 다음 공격자는 로그인에 성공한 모든 계정을 탈취합니다.

거의 언제나 그렇듯이 크리덴셜 스터핑에 대처하는 최상의 방법은 이를 미연에 방지하는 것입니다.

크리덴셜 스터핑을 공격을 방어하려면 먼저 계정 주인부터 주의해서 계정 보호를 해야합니다.

 

1. 모든 웹 사이트에서 생성하는 계정마다 고유한 암호를 사용할 것
2. 다단계 인증(MFA)을 이용해 계정을 보호할 것
3. 웹 사이트 가입 목적으로 회사 이메일 주소를 사용하지 말 것
   
   • 회사 이메일 주소를 사용하면 회사에 대한 불필요한 관심을 유발하며, 계정이 손상된 기간 동안 시행한 작업의 책임이 직원과 해커 중 누구에게 있는지 입증하기가 어렵습니다.

 

<참조> https://www.chubb.com/kr-kr/articles/12-top-tips-for-securing-you-your-business.html

크리덴셜 스터핑 예방 — 귀사와 비즈니스를 안전하게 보호하기 위한 12가지 핵심 팁 - Chubb in Kore