크리덴셜 스터핑 공격 설명(및 방지 방법)

업데이트: 2022-04-25 / 기사 작성자: Gene Fay
크리덴셜 스터핑 공격의 작동 방식

크리덴셜 스터핑 공격을 방지하는 방법을 아는 핵심은 공격이 무엇인지, 어떻게 수행되며 어떻게 공격할 수 있는지 이해하는 것입니다. 비즈니스와 데이터에 영향.

간단히 말해서 자격 증명 스터핑 공격은 범죄자가 유효한 로그인 자격 증명 조합을 찾는 데 사용할 수 있는 도난당한 사용자 이름과 암호를 자동으로 일치시키는 것입니다. 이 접근 방식은 계정 탈취 공격을 주도하며 일반적으로 공격에 앞서는 경향이 있습니다. 범죄자는 계정을 탈취하여 자신의 목적으로 사용하기 전에 먼저 계정에 액세스해야 합니다.

크리덴셜 스터핑 공격은 모든 온라인 공격 유형에서 상당한 비율을 차지합니다. 실제로, 전체 디지털 트래픽의 거의 5% 이러한 공격과 관련이 있습니다.

최근 크리덴셜 스터핑 공격이 증가하는 이유는 정기적인 데이터 침해를 통한 소비자 개인 정보의 지속적이고 일부의 경우 수익성이 높은 도난 때문입니다. 온라인 계정에서 암호를 재사용하고 재활용하는 소비자는 특히 위험합니다.

기본적으로 이것은 공격자가 여러 온라인 계정에서 한 사람이 사용하는 유효한 단일 사용자 이름과 암호 조합에 액세스할 수 있는 경우 이러한 계정이 모두 비교적 짧은 시간 내에 쉽게 손상될 수 있음을 의미합니다.

크리덴셜 스터핑 공격은 어떻게 작동합니까?

모든 크리덴셜 스터핑 공격에는 세 가지 기본 단계가 있습니다.

  1. 데이터 수집
  2. 자격 증명 일치
  3. 공격의 수익화

공격자는 종종 봇을 사용하여 자격 증명 유효성 검사 프로세스를 자동화하고 사용자 이름과 암호의 유효한 조합을 찾습니다. 이 강력한 봇은 수천 개의 암호를 사용자 이름과 일치시켜 디지털 계정에 원치 않는 액세스 권한을 얻는 데 사용할 수 있는 유효한 조합을 찾을 수 있습니다. 이 접근 방식을 통해 공격자는 노력을 확장하고 ROI를 높이면서 기업과 개인 모두에게 상당한 피해를 줄 수 있습니다.

크리덴셜 스터핑 공격은 얼마나 흔한가요?

이러한 디지털 공격은 매우 일반적이며 광범위한 산업 및 온라인 도메인에서 널리 퍼져 있습니다. 때로는 인간이 아닌 자동화된 봇에 의해 수행되기도 합니다. 인공 지능 기능이 있는 고도로 발전된 봇은 공격자가 공격을 지원하기 위해 지원 서비스에 액세스할 수도 있는 공격자가 쉽고 쉽게 사용할 수 있습니다. 이 기술을 통해 공격자는 최소한의 비용으로 봇을 사용하여 대규모 공격을 간단하게 실행할 수 있습니다.

많은 공격자들은 또한 기본적인 사기 방어 기술에 대해 알고 있으며 이 지식을 사용하여 기술 시스템을 우회하고 자신에게 이익을 줄 수 있습니다. 일단 네트워크에 침입하면 봇을 사용하여 내부를 탐색하고 개인 데이터를 훔치고 기업의 운영 및 보안 시스템을 방해할 수 있습니다.

통계 이해하기

무료 데이터 침해 알림 플랫폼 HaveIBenPwnd.com 8.5개 이상의 데이터 침해 이벤트에서 400억 개 이상의 손상된 자격 증명을 추적합니다. 이 서비스는 대중에게 공개되거나 지하 플랫폼을 사용하여 널리 배포된 데이터 세트의 자격 증명만 추적합니다. 많은 데이터베이스 덤프가 비공개이며 소규모 해킹 그룹만 액세스할 수 있습니다.

크리덴셜 스터핑 공격은 도난당한 크리덴셜과 공격자의 노력을 돕기 위한 맞춤형 지원 도구 판매를 중심으로 하는 완전한 지하 경제에 의해 지원됩니다. 이러한 도구는 유출된 데이터 세트에서 발견된 해시된 암호가 크랙된 후 다른 데이터 세트에서 대조되는 '콤보 목록'을 사용합니다. 기본적으로 크리덴셜 스터핑 공격을 시작하는 데는 특별한 지식이나 기술이 필요하지 않습니다. 필요한 데이터와 도구를 구입할 수 있는 충분한 돈이 있는 사람은 누구나 공격을 실행할 수 있습니다.

크리덴셜 스터핑 공격은 계정 탈취 200건당 100,000달러로 비용 효율적이 되었습니다( ).

보안 및 콘텐츠 전송 회사인 Akamai는 193년에만 전 세계적으로 2020억 건의 크리덴셜 스터핑 공격을 발견했습니다. 이 번호는 360년 수치보다 2019% 증가. 이러한 증가의 일부는 더 많은 고객에 대한 보다 광범위한 모니터링에 기인할 수 있습니다. 금융 서비스 산업과 같은 일부 산업은 특히 자주 표적이 되었습니다. Akamai의 2021년 2020월 보고서는 XNUMX년 말의 하루에 XNUMX억 건 이상의 공격이 발생한 것을 포함하여 이러한 공격의 양이 몇 차례 급증했다고 언급했습니다.

공격을 탐지하는 방법

크리덴셜 스터핑(credential stuffing) 공격은 다양한 IP 주소에 악성 요청을 분산시키는 프록시 사용을 허용하는 자동화된 도구와 봇넷을 통해 시작됩니다. 공격자는 또한 웹 요청이 구성되는 운영 체제와 브라우저를 식별하는 헤더인 실제 사용자 에이전트를 모방하도록 선택한 도구를 구성하는 경우가 많습니다.

이 모든 것이 공격과 실제 로그인 시도를 구별하기 어렵게 만듭니다. 특히 트래픽 수준이 높은 웹 사이트에서 갑작스러운 로그인 요청의 물결이 일반적인 로그인 동작과 눈에 띄지 않습니다. 즉, 단기간에 로그인 실패율이 증가하면 웹 사이트에 대한 자격 증명 스터핑 공격이 시작되었음을 나타낼 수 있습니다.

고급 행동 진단을 사용하여 의심스러운 로그인 행동을 탐지하는 많은 웹 응용 프로그램 방화벽 및 유사한 서비스가 있습니다. 을 더한, 웹사이트 소유자는 스스로 조치를 취할 수 있습니다. 미래의 공격을 방지하기 위해.

더 읽기

자격 증명 스터핑 공격을 방지하는 방법

당신은 로봇입니까?

크리덴셜 스터핑 공격은 오늘날 인터넷 사용자의 디지털 계정에 대한 가장 심각한 위협 중 하나이며 이는 기업에도 적용됩니다. 조직, 중소기업 및 그 사이의 모든 사람은 개인 및 조직 데이터의 보안을 보장하기 위해 이러한 위협에 대한 보호 조치를 취해야 합니다.

일부는 가장 인기있는 크리덴셜 스터핑 방지 기술에는 다음이 포함됩니다.

  • 보안 문자
    CAPTCHA는 다른 봇에 의한 공격을 방지하는 데 사용되는 일반적인 봇의 한 형태입니다. 그들은 인터넷 사용자가 로그인할 때 퍼즐을 풀고 그들이 인간인지 확인하도록 요구합니다. CAPTCHA는 그림, 텍스트, 오디오, 수학 합계 등을 포함한 다양한 버전으로 사용할 수 있습니다.
  • 행동 생체 인식 로그인
    일부 기업은 위협을 탐지하기 위해 일반적인 사용자 행동과 웹 트래픽 패턴을 분석하는 데 의존했습니다. 그들은 이 데이터를 사용하여 시스템의 변칙적 행동과 가능한 악용을 발견할 수 있습니다.
  • IP 주소 차단
    많은 기업이 의심스러운 활동으로 인해 IP 주소를 차단했으며 다른 기업에서는 검토 및 확인이 가능할 때까지 의심스러운 요청을 격리합니다.
  • 이중 및 다단계 인증
    2FA 및 MFA는 사용자만 알고 있거나 액세스할 수 있는 추가 정보를 사용하여 추가 보안 및 인증 계층을 제공합니다. 이 인증은 일회성 PIN, SMS, 보안 질문 또는 지문이나 얼굴 스캔과 같은 생체 인식 판독의 형태로 제공될 수 있습니다.
  • 장치 인텔리전스 및 지문
    장치 인텔리전스는 운영 체제, IP 주소, 브라우저 유형 등과 같은 데이터로 구성됩니다. 이 데이터는 특정 장치에 연결할 수 있는 고유한 ID를 만드는 데 도움이 됩니다. 이 일반적인 데이터에서 벗어나면 의심스러운 행동에 플래그를 지정하고 기업과 사람들이 사전에 행동하고 더 많은 인증 수단을 도입할 수 있습니다.
  • 비밀번호 및 보안 위생
    암호 위생은 직원을 위한 모든 기업의 보안 인식 교육의 일부여야 합니다. 비밀번호 재사용은 크리덴셜 스터핑 공격을 가능하게 하는 주요 요인이므로 기업은 이러한 관행을 억제하고 직원이 직장과 개인 역량 모두에서 강력하고 고유한 비밀번호를 사용하는 것이 얼마나 중요한지 알도록 해야 합니다.
    웹 사용자가 사용할 수 있는 보안 암호 관리자 가지고 있는 모든 온라인 계정에 대해 복잡하고 예측할 수 없는 암호를 생성합니다. 암호 관리자는 이러한 암호를 자동으로 저장하고 전자 메일 주소가 공개 데이터 덤프에 나타나는 경우 사용자에게 알릴 수도 있습니다.

일부 대기업은 공개 데이터 덤프를 분석하고 모니터링하여 영향을 받는 이메일 주소가 자체 시스템에도 있는지 확인함으로써 사전 조치를 취하기 시작했습니다. 서버에서 발견된 계정의 경우 암호 재설정이 필요하며 데이터가 이미 손상되었을 수 있는 소비자를 보호하기 위해 다단계 인증을 활성화할 것을 제안합니다.

이러한 예방 조치는 얼마나 효과적입니까?

많은 기업이 크리덴셜 스터핑 공격으로부터 자신과 데이터를 보호하기 위해 위에서 언급한 방어 방법 중 하나 이상을 사용합니다. 그러나 이러한 접근 방식이 100% 효과적이지는 않습니다. 진화하는 공격에 대한 지속적인 보호를 제공하는 데 부분적으로만 효과적이라는 단점이 있습니다.

이러한 예방 조치는 통합 문제를 야기하고 기술 비용을 증가시키는 동시에 위험 결정을 복잡하게 하여 사기 예방 노력을 더욱 방해할 수 있습니다. 예를 들어, 다단계 인증은 구현하는 데 비용이 많이 들고 SMS 및 OTP가 지연되거나 손실되기 쉽습니다.

마찬가지로 행동 변화를 기반으로 IP 주소를 차단하면 기업이 무의식적으로 합법적인 고객과 리드를 차단할 수 있습니다. 오늘날 대부분의 사용자는 많은 장치와 브라우저가 설치되어 있으므로 장치 인텔리전스는 독립 실행형 보안 솔루션으로 사용할 수 없습니다. CAPTCHA는 끊임없이 변화하는 봇 기술 뒤에 숨어 있습니다. 공격을 멈추지 않고 인터넷 사용자를 불필요하게 방해하는 경우가 많기 때문에 빠르게 비효율적으로 만들어지고 있습니다.

요점: 억제가 핵심입니다

크리덴셜 스터핑 공격의 문제가 점점 더 위협이 되는 시대에 모든 규모의 기업은 확장되는 치료 비용과 실행 가능한 ROI를 생성하는 효과적인 보안 조치 간의 균형을 맞추기 위해 고군분투할 것입니다. 이러한 공격은 공격자에게 매우 저렴합니다. 그러나 재정적 손실과 평판 손상으로 기업을 무력화시킬 수 있습니다.

간단히 말해서, 크리덴셜 스터핑 공격을 완화하는 것만으로는 기업을 피해로부터 보호하기에 충분하지 않을 수 있습니다. 대신 데이터를 안전하게 유지하기 위해 범죄자를 저지하는 데 집중해야 합니다. 공격 방법이 계속 진화함에 따라 조직에 지속적인 보호를 제공하려면 사기 방지에 대한 혁신적인 접근 방식이 필요합니다.

앞서 언급한 Akamai State of the Internet 보고서에 따르면 크리덴셜 스터핑 공격은 어디에도 없습니다. 완전히 멈출 수는 없기 때문에 기업은 일치하는 사용자 이름과 암호를 얻는 프로세스를 최대한 어렵게 만드는 것을 목표로 해야 합니다. 암호 재사용을 줄이고 강력한 암호 생성을 권장하는 것은 여러 부문에 걸쳐 기업이 사용할 수 있는 가장 효과적이고 저렴한 억제책입니다.

더 읽기

진 페이 소개

Gene Fay는 정보 기술 분야에서 성공적으로 일한 경험이 있는 하이테크 경영자입니다. 사이버 보안, SAN(Storage Area Network), 영업, 전문 서비스 및 데이터 센터에 능숙합니다. Northeastern University - 경영 대학원에서 첨단 기술에 중점을 둔 MBA를 취득한 강력한 정보 기술 전문가. 그는 또한 개인이 보안 분야에 진출하고 경력을 성장시킬 수 있는 방법에 대해 CISO 및 기타 보안 리더와 대화하는 팟캐스트인 eXecutive Security 팟캐스트의 호스트이기도 합니다.