1. 개요
크리덴셜 스터핑(Credential Stuffing)한 웹 사이트나 서비스에서 유출된 사용자 이름과 비밀번호 조합을 사용하여, 관련 없는 다른 웹 사이트나 서비스에 로그인을 시도함으로써 사용자 계정을 탈취하는 공격 기법. 사람들이 여러 플랫폼에서 동일한 로그인 정보를 재사용하는 경향을 악용하는 것이다.
2. 특징
보통 봇을 이용해 대량으로 이루어지며, 다양한 웹사이트와 서비스에 대해 반복적으로 로그인을 시도한다. 그러다가 로그인에 성공하면 게정을 탈취하고 해당 게정에 있는 다른 정보를 수집하거나, 다른 방법으로 악용하거나 한다.공격 하나하나의 성공률은 매우 낮은 편이나[1] 이미 유출된 데이터의 양이 많기 때문에 몇만 건 단위의 계정 탈취도 심심치 않게 볼 수 있다.
당연히 서버엔 비정상적인 접속 로그가 남겠지만, ip를 바꿔가며 올바른 아이디와 비밀번호를 입력하기도 하기에 서버 쪽에선 강제 2차 인증을 사용하지 않는 한 예방이 쉽지 않다.
사이트마다 비밀번호를 다르게 사용하면 쉽게 막을 수 있다. 다만 그게 사용자 입장에서는 쉽지 않기 때문에 보통 2차 인증을 더 많이 권하는 편이다.
3. 사례
- GS리테일: GS25 웹사이트에서 9만여 명, GS SHOP 웹사이트에선 158만 건의 개인정보가 유출되었다고 밝혔다.
- 티머니: 이름, 이메일, 주소, 전화번호가 유출된 것으로 추정된다. ##
- 워크넷, 한국장학재단: 각각 23만 6천여 명, 3만 2천여 명의 개인정보가 유출되었다. #
- 디지털대성: 크리덴셜 스터핑과 XSS 공격으로 9만 5천여 명의 회원 개인정보 유출되었다. 이 일로 8억 9,300만 원의 과징금과 1,350만 원의 과태료가 부과되었다. #
- 스노우플레이크: 고객사들의 데이터가 유출되었으며, 대상은 티켓마스터(피해 규모 약 5억 6천만 건)[2], 산탄데르 은행(약 3천만 건), AT&T(약 1억 건)[3], 렌딩트리(약 1억 9천만 건), 어드밴스오토파츠(약 230만 건)[4] 등
- Canva: 약 1억 3,900만 건의 프로필 정보(닉네임, 이름, 이메일 주소, 국가 등)이 유출되었다.
- 23andMe: 약 690만 건의 이름과 주소, 인종 및 유전자 정보가 유출되었다. DNA Relatives 기능의 취약점으로 인해 한 계정 탈취가 연결된 수백~수천 명의 데이터 노출로 확산되는 바람에 피해 규모가 눈덩이처럼 불어났다. 이 사건의 여파로 회사는 몰락의 길을 걸어, 파산하여 리제네론 파마슈티컬스에게 경매를 통해 2억6500만 달러(약 3700억원)에 인수되었다.[5] #
4. 여담
- 한국어로 번역하자면 '로그인 정보 도용 공격' 정도로 번역할 수 있겠지만, 보통 번역하지 않고 크리덴셜 스터핑이라 그대로 읽는 편이다.
- 2023년 아카마이의 보고서에 따르면, 웹 애플리케이션 공격의 약 40%가 크리덴셜 스터핑 공격이라고 한다. 그만큼 이 공격이 쉽고 효과적이라는 것을 시사한다.
[1] 낮으면 0.1%, 높으면 2~3%로 보는 곳도 있다. 공격 대상의 규모, 해커가 가진 데이터들과 공격 대상의 연관도 등에 따라 크게 달라지나 여전히 각각의 성공률은 낮은 편이다.[2] 유출된 데이터는 BreachForums에서 50만 달러에 판매 제안을 받았다.[3] 거의 모든 무선 고객에 대한 데이터가 유출되었다. 이후 데이터 삭제를 위해 37만 달러의 몸값을 지불하여 일단락되기는 했다.[4] 다크웹에서 150만 달러에 판매 제안을 받았다.[5] 참고로 해당 기업은 한때 시가총액이 8.8조원에 이르던 기업이였다. 엄청나게 헐값에 팔린 것이라 볼 수 있다.