새로운 소식

#### 크리덴셜 스터핑이란 간단히 말해 크리덴셜 스터핑(credential stuffing)이란 사용자의 계정을 탈취하는 공격 유형 중 하나다. A라는 회사에서 유출된 고객의 ID와 비밀번호를 확보한 공격자가, 그걸 B, C, D...라는 회사가 제공하는 서비스에 자동화 기술로 대입하는 것이다. 들어맞으면 공격자는 또 다른 회사의 사용자 계정을 하나 더 획득하게 된다. ‘무작위 대입’은 한 가지 서비스에 수많은 ID/비밀번호 조합을 대입하는 것으로, 탐지되기 쉽지만 크리덴셜 스터핑은 한 사이트에서 대입하는 숫자가 그리 많지 않아 눈에 띄지 않는다는 특징을 가지고 있다. 크리덴셜 스터핑 공격을 막는 방법 중 널리 알려진 건 다음과 같다. 1) 봇을 차단하라 : 고객의 계정이 크리덴셜 스터핑으로 도난당하는 걸 막으려면 기업은 사람이 발생시키는 트래픽과 봇이 발생시키는 트래픽을 구분해야 한다. 가장 유명하고 널리 사용되는 도구는 캡챠(captcha)이다. 물론 캡챠가 만능 도구는 아니다. 2) 다중인증 옵션을 도입하라 : 통계적으로 이중인증과 다중인증 옵션을 사용 중인 계정의 해킹 방지 성공률은 99.9%라고 한다. 비밀번호로만 보호된 계정을 훔치는 것과, 여러 인증 단계를 가지고 있는 계정을 훔치는 것의 난이도에 차이가 있음은 쉽게 상상할 수 있다. 해커로서는 사용자의 장비나 몸을 물리적으로 확보하고 있지 않는 한 두 번째 혹은 세 번째 인증 단계를 뚫기가 힘들다. 3) 사용자가 비밀번호를 어렵게 설정하도록 만들라. 위 2)번과 비슷한 맥락에서 제안되는 방법이다. 사용자가 ‘password’나 ‘1234’를 비밀번호를 설정하지 못하도록 기업이 처음부터 제동을 걸어야 한다. 최근 많은 서비스들이 소문자와 대문자를 섞고 특수문자까지 첨부해야만 계정이 생성되게 하는데, 좋은 방향이다.