크리덴셜 스터핑(credential stuffing)

크리덴셜 스터핑(credential stuffing)은 수집된 사용자 이름과 비밀번호를 자동으로 대입하며 사용자 계정에 부정하게 액세스하려는 공격을 말한다. 이 방법으로 과거 여러 해 동안의 데이터 침해 사건이 발생했고, 그 결과 수십억 개의 로그인 정보가 해커의 수중에 들어갔다. 이들 인증 정보는 지하 경제의 연료가 됐고, 스팸부터 피싱, 계정 탈취에 이르는 온갖 행위에 악용됐다. 크리덴셜 스터핑 공격은 사이버 범죄자가 탈취된 사용자 이름과 비밀번호를 악용하는 대표적 방식 가운데 하나다.

이는 일종의 무차별 대입 공격(Brute Force Attack) 기법이지만, 일반적 단어 조합으로 된 ‘사전’을 이용해 비밀번호를 추측하는 것이 아니고, 데이터 침해에서 입수한 알려진 유효 인증 정보의 목록을 이용한다는 점에서 차이가 있다. 따라서 공격은 훨씬 더 쉽고 성공률은 더 높아진다. 여러 웹사이트에 같은 비밀번호를 재사용하는 사람이 많기 때문이다. 별로 유명하지 않은 웹사이트에서 훔친 인증 정보가 민감한 데이터를 가진 서비스에서도 유효할 확률이 높은 것이다.

 

내용 요약 

크리덴셜 스터핑(credential stuffing)은 수집된 사용자 이름과 비밀번호를 자동으로 대입하며 사용자 계정에 부정하게 액세스하려는 공격을 말한다.

사이버 범죄자가 탈취된 사용자 이름과 비밀번호를 악용하는 대표적 방식 가운데 하나다.

일종의 무차별 대입 공격(Brute Force Attack) 기법이지만, 단순 게싱이 아닌 데이터를 침해하여 입수한 알려진 유효 인증정보를 이용한 공격기법.