크리덴셜 스터핑(Cridential Stuffing)이란?

2020년 한 해 동안 전세계 금융 업계를 대상으로 총 41억 건의 보안 공격이 발생하였고 이 중 약 34억 건은 크리덴셜 스터핑(Credential Suffing) 공격이라고 합니다.
(원 출처: '2021 인터넷 보안 현황 보고서: 금융산업을 위협하는 피싱(Akamai 2021 State of the Internet / Security report: Phishing for Finanace)

2018년 10월 세계 7대 금융 기관 중 하나인 HSBC Bank 데이터 유출 사건부터 연예인 스마트폰과 연결된 클라우드 계정 탈취 사건, 국내 간편 결제 서비스인 토스의 명의 도용으로 인한 부정 결제 사건까지 모두 크리덴셜 스터핑 공격이 원인이었습니다.

크리덴셜 스터핑은 공격자가 악성 웹 사이트 및 서비스에서 획득한 사용자 ID와 비밀번호를 조합해 다른 서비스에 로그인을 시도하는 보안 공격입니다. 많은 사용자가 여러 서비스에 동일한 ID와 비밀번호를 사용하는 경향이 있어 이러한 취약점에 노출되어 있습니다.

그렇다면 크리덴셜 스터핑에 대응하기 위해 어떻게 해야할까요?

암호 설정에 있어 보안을 위한 복잡도를 만족하고, 모든 계정마다 다르게 설정하여 중복을 피하고, 주기적으로 변경해줘야 합니다.

하지만 이를 현실적으로 지키기 어렵기 때문에 필요한 방안이 바로 다단계 인증(MFA: Mutli-Factor Authentication)입니다.

만약 MFA를 구현할 수 없는 경우 대체할 수 있는 방어 수단은 보조 암호, PIN 및 보안 질문, 보안 문자(CAPTCHA), IP주소 블랙 리스트, 장치 지문 등이 있습니다. 다중 방어를 계층화된 접근 방식으로 구현하는 것입니다.