크리덴셜 스터핑은 어떤 녀석인가?

1. 서론

최근 뉴스를 보면 크리덴셜 스터핑으로 인한 기업의 피해가 다수 발생하는것을 알 수 있다.

크리덴셜 스터핑의 개념과 대응방법에 대해 알아보려고 한다.

 

 

2. 크리덴셜 스터핑(Credential Stuffing) 이란?

이전 공격에서 유출된 자격 증명(Credential)을 소프트웨어 도구를 이용하여 다른 계정에 무작위 대입(Stuffing)하며 성공할 경우 주민등록번호, 신용카드 정보 등 사용자 정보를 탈취하는 공격이다.

 

공격자는 크리덴셜 스터핑 공격이 생겨나기 이전에 다양한 툴을 이용하여 Brute Force Attack, Dictionary Attack,  Rainbow Table Attack 등 다양한 공격을 통해 사용자의 정보를 흭득해 왔다.

 크리덴셜 정보를 일반 웹 또는 다크웹을 통해 얻은 후 해당 정보를 희생자의 서버에 인증 시도한다.
보통 사용자의 경우 계정, 패스워드를 동일하게 사용하는 경우가 많기 때문에 다른 공격에 비해 높은 ROI(Return On Investmen, 0.1% ~ 0.2%) 를 가지고 있다.

 

크리덴셜(Credential) 이란?

아이디와 패스워드를 사용하여 애플리케이션 등에서 사용하는 암호학적 개인정보이다.

 

다크웹이 아닌 구글에 "combolist for sale"만 검색해봐도 다양한 크리덴셜 정보를 파는것을 확인할 수 있다.

 

다양한 크리덴셜 정보를 파는 사이트 예시

 

해당 정보를 얻은 후 Capcha를 우회할 수 있는 OpenBullet 툴을 이용하여 무작위 대입이 가능하다.

 

3. 크리덴셜 스터핑 대응방안

비밀번호 인증 강화

충분히 길고 높은 복잡도의 비밀번호 설정한다. 현재 KISA 비밀번호 규정의 경우 10자리 이상 대, 소문자, 숫자, 특수문자 두 종류 이상 섞어서 90일 주기로 변경하도록 권고하고 있다.
여러번 로그인 시도 시 계정 잠기도록 설정한다.

추가 인증 시스템

MFA(Multi-factor Authentication)사용하여 인증을 통과하더라고 2차 인증을 수행할 수 없도록 설정한다.
FIDO 생체 인증을 사용한다.

공격 방어 체계

reCapcha 적용한다.

 

[참조]

https://github.com/openbullet/OpenBullet2
https://www.f5.com/labs/articles/threat-intelligence/credential-stuffing-tools-and-techniques-part-1