크리덴셜 스터핑(Credential Stuffing) 사례: 연예인 개인정보 유출

크리덴셜 스터핑(Credential Stuffing)이란?

크리덴셜 스터핑(Credential Stuffing)은 Brute Force 공격과 비슷합니다. 브루트 포스는 무식한 ‘무작위 대입’으로 뚫는 방식이지만, 크리덴셜 스터핑은 해커가 다크웹 등에서 미리 확보해놓은 Credential(자격증명)을 대입해서 계정과 정보를 탈취합니다.

한국인들의 개인정보는 거의 공공재에 가깝기 때문에 해커들이 훔쳐가도 큰 타격이 없지만, 암호화폐나 결제 같은 금융 피해가 일어나게 된다면 머리 아파지죠. 그리고 개인의 사생활이 털리게 되면 돈 보다 더 많은 것을 잃을 수도 있습니다.

계정 탈취를 위한 관련 정보들은 직접 해킹한 서버에서 얻은 것들도 있지만 전문적으로 털어서 다크웹 등으로 판매하는 조직들도 있습니다. 해커든 해킹한 데이터를 구매한 조직이든 불법적인 방법으로 돈을 벌기위한 목표는 똑같습니다.

로그인 자격 증명(보통 아이디와 비밀번호) 정보를 얻게되면 자신들이 가지고있는 프로그램(Bot)을 통해 자동으로 계정 탈취를 후 그 권한을 다시 판매하기도 합니다. 다시 정리하면 아래와 같아요.

Credential Stuffing 진행 순서

  1. 자격 증명 수집: 다크웹, 해커 포럼 등에서 자격 증명 데이터를 구매하거나 직접 해킹하기도 함.
  2. 자동화된 도구로 테스트: 공격자는 혹은 스크립트 같은 자동화된 시스템으로 취득한 자격 증명 정보로 로그인이 되는지 시도합니다. 프로그램을 통해서 시도하는거라 순식간에 많은 계정을 테스트할 수 있습니다. 주로 SNS, 유튜브 계정, 이메일, 쇼핑사이트 등이 타겟입니다.
  3. 로그인: 공격자가 구매하거나 훔친 정보가 다양한 플랫폼 및 사이트에서 로그인에 성공했는지 확인.
  4. 수익화: 이런 행위는 당연히 돈을 벌기위한 목적으로 하는 것 입니다. 신용카드 정보로 무단 구매, 민감한 정보 수집, 신원 도용, 계정 판매, 남에게 알려지면 안되는 사진, 동영상을 얻은 경우 일반인에게도 치명적이지만 연예인이라면 그들이 노리는 것은 더 커지겠죠.

크리덴셜 스터핑 피해 사례

  • 연예인 사생활 유출 : 대표적인 예가 주진모 카톡 해킹 유출 사건 입니다.(워낙 유명하고.. 다들 아시는 내용이라 따로 캡처는 올리지 않겠습니다.)
  • 스타벅스 : 충전금 털림
  • 지마켓 : 상품권 핀번호 도용
  • 페이팔 해킹 : 공격이 시작된지 2주만에 이상 징후를 포착하게 됐는데 그 짧은 기간 동안 3만 4942명의 이름, 주소, 사회 보장 번호, 납세자 식별 번호, 생년월일 등 중요 정보들이 공격자의 손에 넘어갔다고 합니다. 이 정보는 다크웹 같은 어둠의 경로로 거래됩니다. 특히 ‘확인된 개인정보’는 더 비싼 가격에 팔린다고 해요.
  • Jason’s Deli : 미국 레스토랑 체인점인데 크레덴셜 스터핑 공격으로 무려 34만명이 정보가 털렸어요.
  • VF Corporation : 노스페이스, 반스, 팀버랜드, 디키즈 등 유명 패션 브랜드를 가진 모회사 입니다. 20만명의 개인정보가 크레덴셜 스터핑으로 유출된 적이 있습니다.
  • 워크넷 : 구인직 해보신 분들에게는 매우 익숙하죠. 한국 정부에서 운영하는 사이트 입니다. 무려 23만 6천여명의 개인정보가 유출되었죠. 이와 비슷한 사례로 인크루트도 과거 3만5천명 정도 유출이 있었어요.
  • 인터파크 : 78만명 유출
  • 한국고용정보원 : 23만건 유출

이 외에도 엄청나게 많을거예요.

지문 인증, 전화(문자) 인증 등 복합 인증을 더 많이 요구하게 된 원인 중 하나 입니다.

크리덴셜 스터핑 예방법

우선 딱 2가지 방법을 우선적으로 강력 권장합니다.

다단계 인증(MFA)

2FA, 2차 인증이라고도 부릅니다. OTP 번호 혹은 내 폰번호로 전송되는 인증문자/숫자, 패스키 등이 MFA에 해당됩니다. 이것만 해놔도 해킹 확률은 두자리 확률에서 한자리 확률로 떨어진다고 생각합니다. 저는 지금까지 2차 인증이 설정된 계정들을 단 한 번도 털려본적이 없습니다. 요즘에는 이것은 옵션이 아니라 필수입니다. 저는 강제로라도 하게 만들어야한다고 생각해요.

2FA 앱 추천 글을 꼭 한번 읽어보세요.

비밀번호 관리

가장 쉽고 꼭 해야하는 것이 모든 사이트의 비밀번호를 다르게 사용하는 것입니다.(+ 정기적은 변경)

아이디까지 모두 다르게 하려면 너무 복잡해지기 때문에 비밀번호라도 절대 중복되지 않게 사용하시는게 중요합니다. 40자리가 넘는 비밀번호를 사용하신다 하더라도 여기저기 중복으로 사용된다면 그 힘은 희석됩니다.

모두 다르게 관리하려면 ‘패스워드 매니저‘ 즉 비밀번호 관리 프로그램이 필수입니다. 친구중 수학적 사고력이 매우 뛰어나고 기억력도 정말 좋은 애가 하나 있는데, 본인 머리 믿고 자기만의 패스워드 생성 방식으로 만들어 오래 관리했습니다. 그런데 나이가 들기 시작하니 헷갈리기 시작하고 잊어버리기도 하더군요 ㅋㅋ

비밀번호 관리앱 사용하시는 것이 가장 현명한 방법입니다. 마스터 비밀번호만 복잡하게 잘 만들어서 그거 하나 제대로 기억하면 되는거예요. 당연히 2차인증까지 다 걸어놔야겠죠.

무료 중에서 Bitwarden을 추천드립니다. 이유는 오픈소스, 혜자스러운 무료 계정, 기능적인 부분도 훌륭하기 때문입니다.

NordVPN 유저들은 NordPass를 사용하시면 되고, ExpressVPN 유저들은 Keys가 있습니다. 본인이 온라인에 저장되는 정보는 그 어떤 것도 믿을 수 없다고 생각하신다면 오픈소스 소프트웨어에 장기간 검증받은 KeePass를 사용해보세요.

굳이 유료 버전을 사용하지 않으셔도 괜찮아요. 쓰다가 나중에 유료 기능이 필요하다고 해도 1년에 10달러밖에 안합니다. 저도 한 때 더 확실한 보안을 위해서 오프라인 전용 패스워드 관리 앱을 사용했던 적이 있는데.. 나이가 들면서 이런저런 일에 신경쓸게 많아지게 되면서 더 편리한 것을 선택하게 됐습니다.

어차피 요즘 웬만한 패스워드 서비스 제공 업체들은 영지식 암호화로(서비스 제공자도 무엇이 저장되는지 알 수 없음) 관리하기 때문에 마스터 패스워드를 모르면 해커가 서버를 털어가도 내가 저장한 아이디와 비번을 알 수 없습니다.

그렇습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다