Credential stuffing과 브루트포스 공격은 어떻게 다른가요?

브루트포스 공격은 무작위 또는 사전 기반 비밀번호를 반복적으로 시도하는 반면, credential stuffing은 실제 데이터 침해 사고에서 유출된 실존하는 사용자 이름과 비밀번호 조합을 사용합니다. 이로 인해 credential stuffing은 더 효율적이고 탐지하기 어렵습니다. 공격자는 이미 어딘가에서 작동했던 자격 증명을 활용하기 때문에 성공 가능성이 훨씬 높습니다.

VPN을 사용하면 credential stuffing으로부터 보호받을 수 있나요?

부분적으로만 그렇습니다. VPN은 IP 주소를 숨기고 트래픽을 암호화하지만, 자격 증명이 이미 유출된 경우 공격자가 계정에 로그인하는 것을 직접 막을 수는 없습니다. 다만 VPN은 추적자와 데이터 브로커가 여러 계정을 연결하는 프로필 구축을 어렵게 만들어 침해 발생 시 피해 범위를 간접적으로 줄이는 데 도움이 될 수 있습니다.

내 자격 증명이 credential stuffing 공격에 사용되고 있는지 어떻게 알 수 있나요?

직접적으로 알기는 어렵지만, 몇 가지 징후가 있습니다. 낯선 위치나 기기에서의 로그인 알림, 계정 설정 변경, 또는 본인이 시도하지 않은 비밀번호 재설정 요청이 대표적입니다. 또한 HaveIBeenPwned와 같은 서비스를 통해 이메일 주소가 알려진 데이터 침해 사고에 포함되었는지 확인할 수 있습니다.

Credential stuffing을 막는 가장 효과적인 방법은 무엇인가요?

가장 효과적인 방어 수단은 두 가지입니다. 첫째, 모든 계정에 고유한 비밀번호를 사용하는 것입니다(비밀번호 관리자 활용 권장). 둘째, 이중 인증(2FA)을 활성화하는 것입니다. 공격자가 올바른 비밀번호를 갖고 있더라도, 2FA가 설정되어 있으면 두 번째 인증 수단 없이는 계정에 접근할 수 없습니다. 비밀번호 재사용을 중단하는 것만으로도 credential stuffing 공격의 효과를 크게 줄일 수 있습니다.

Credential Stuffing

Credential Stuffing: 하나의 침해가 연쇄 피해로 이어질 때

여러 계정에 동일한 비밀번호를 사용한 적이 있다면 — 대부분의 사람들이 그렇게 합니다 — 당신은 credential stuffing의 잠재적 표적입니다. 이는 오늘날 사이버 범죄자들이 가장 많이 사용하는 공격 방식 중 하나로, 보안보다 편의성을 선택하는 매우 인간적인 습관을 악용합니다.

Credential Stuffing이란

Credential stuffing은 해커가 대규모 유출 사용자 이름 및 비밀번호 목록(주로 이전 데이터 침해 사고에서 획득한 것)을 수십 또는 수백 개의 다양한 웹사이트에 체계적으로 대입하는 자동화된 사이버 공격의 일종입니다. 논리는 단순합니다. 누군가가 게임 포럼과 온라인 뱅킹 계정에 동일한 이메일과 비밀번호를 사용했다면, 하나를 뚫는 것이 곧 다른 하나도 뚫는 것과 같습니다.

무작위 또는 사전 기반 비밀번호를 시도하는 브루트포스 공격과 달리, credential stuffing은 이미 어딘가에서 실제로 사용된 것으로 확인된 진짜 자격 증명을 활용합니다. 이로 인해 훨씬 더 효율적이고 탐지하기 어렵습니다.

작동 방식

이 과정은 일반적으로 예측 가능한 패턴을 따릅니다.

데이터 수집 — 공격자가 다크웹 마켓플레이스에서 유출된 자격 증명 데이터베이스를 구매하거나 다운로드합니다. 일부 목록에는 수억 개의 사용자 이름/비밀번호 쌍이 포함되어 있습니다.
자동화 — 전문화된 도구("account checker" 또는 credential stuffing 프레임워크라고도 불림)를 사용하여 공격자가 탈취한 자격 증명을 불러와 대상 로그인 페이지에 대입합니다.
분산 공격 — 속도 제한이나 IP 차단을 피하기 위해 공격자는 봇넷이나 대규모 주거용 프록시를 통해 트래픽을 우회하여, 전 세계 수천 명의 서로 다른 사용자로부터 로그인 시도가 이루어지는 것처럼 위장합니다.
유효 계정 수확 — 소프트웨어가 성공한 로그인을 표시하고, 공격자는 확인된 계정에 접근 권한을 확보합니다. 이렇게 확보된 계정은 직접 악용되거나, 판매되거나, 추가 사기에 활용됩니다.

성공률은 일반적으로 낮아서 — 보통 0.1%에서 2% 사이 — 지만 수백만 개의 자격 증명을 대입할 경우, 0.5%만 되어도 수천 개의 계정이 침해됩니다.

VPN 사용자에게 중요한 이유

VPN 사용자도 credential stuffing으로부터 안전하지 않습니다 — 실제로 알아두어야 할 특정한 측면이 있습니다. 일부 VPN 제공업체 자체가 공격 대상이 된 사례도 있습니다. 과거 사례에서 VPN 서비스에 대한 credential stuffing 공격으로 인해 공격자가 사용자 계정에 접근하고, 경우에 따라서는 연결된 기기나 개인 설정 정보까지 침해하는 일이 발생했습니다.

그 외에도, 자격 증명이 이미 침해된 상태라면 VPN을 사용한다고 해서 보호받을 수 없습니다. VPN은 IP 주소를 숨기고 트래픽을 암호화하지만, 침해된 사이트에서 재사용한 비밀번호로 공격자가 Netflix, 이메일, 또는 은행 계정에 로그인하는 것을 막을 수는 없습니다.

그러나 VPN은 간접적인 방식으로 노출 위험을 줄이는 데 도움이 될 수 있습니다. 실제 IP 주소를 숨김으로써, 추적자나 데이터 브로커가 다양한 온라인 계정을 연결하는 프로필을 구축하기 어렵게 만들고, 이는 침해 사고 발생 시 피해 범위를 제한하는 데 기여할 수 있습니다.

실제 사례

2020년, 여러 VPN 제공업체와 동영상 스트리밍 서비스가 동시에 credential stuffing 공격을 받았습니다. 공격자들은 게임 및 소매업체 침해 사고에서 탈취한 자격 증명을 대입했습니다.
Disney+는 출시 직후 대규모 계정 탈취 사태를 겪었는데, 이는 Disney 시스템의 침해 때문이 아니라 사용자들이 다른 침해된 서비스에서 사용한 비밀번호를 재사용했기 때문이었습니다.
금융 기관들은 매일 수백만 건의 credential stuffing 시도를 경험하며, 대부분은 속도 제한과 다중 인증(MFA)으로 차단됩니다.

자신을 보호하는 방법

대응 방법은 명확합니다. 다만 습관을 바꾸는 것이 쉽지 않을 뿐입니다.

모든 계정에 고유한 비밀번호를 사용하세요. 비밀번호 관리자를 활용하면 실용적으로 실천할 수 있습니다.
가능한 모든 곳에서 이중 인증(2FA)을 활성화하세요. 공격자가 비밀번호를 알고 있더라도 두 번째 인증 수단은 갖지 못합니다.
HaveIBeenPwned와 같은 침해 데이터베이스를 확인하여 자신의 자격 증명이 노출되었는지 점검하세요.
낯선 위치나 기기에서의 로그인 등 계정 접속 기록을 모니터링하세요.

Credential stuffing은 사람들이 비밀번호를 재사용하기 때문에 효과적입니다. 그 습관을 버리면, 이 공격은 당신에게 거의 통하지 않습니다.

Credential Stuffing중급