정의
- 크리덴셜 스터핑이란 이미 유출된 사용자 계정 정보(id, pw 등)를 자동화 도구로 여러 웹사이트나 서비스에 무단으로 입력해 로그인을 시도하는 사이버 공격 방식
- 이 공격은 사용자가 여러 사이트에서 동일한 로그인 정보를 재사용하는 습관을 악용한다
공격 방법
- 공격자는 다크웹 등에서 유출된 계정 정보를 확보한다
- 자동화 도구를 사용해 대량의 로그인 시도를 여러 사이트에서 동시에 진행
(봇, 스크립트, 헤드리스 브라우저 등등) - 정상 사용자와 유사한 트래픽 피턴으로 탐지 회피
(웹 프록시, 사용자 에이전트 위조, 분산 요청 등) - CAPTCHA 우회를 위해 OCR, AI, CAPTCHA 솔빙 서비스를 활용
- 로그인 성공 시 해당 계정에 저장된 정보를 탈취하거나 추가 범죄에 사용
대응 방안
- 비밀번호 재사용 금지
- 다단계 인증 활성화 (MFA, 2FA)
- 자동화 공격 탐지 및 차단
- CAPTCHA 자동화 방지 기능 적용
- 비정상 로그인 시도 알림 & 계정 잠금
- 주기적인 모니터링과 계정 보안 교육
크리덴셜 스터핑은 단순 무차별 대입 공격과 달리, 이미 유출된 실제 계정 정보를 사용하기 때문에 성공률이 높고 탐지가 어렵다.
따라서 다양한 보안 대책을 필수로 적용해야 한다.
little by little