개인정보 유출 경로 중 하나인 크리덴셜 스터핑(Credential Stuffing) 사례

크리덴셜 스터핑(Credential Stuffing)은 Brute Force 공격과 비슷합니다. 브루트 포스는 무식한 ‘무작위 대입’으로 뚫는 방식이지만, 크리덴션 스터핑은 해커가 다크웹 등에서 미리 확보해놓은 Credential(자격증명)을 대입해서 계정과 정보를 탈취합니다.

한국인들의 개인정보는 거의 공공재에 가깝기 때문에 해커들이 훔쳐가도 큰 타격이 없지만, 암호화폐나 결제 같은 금융 피해가 일어나게 된다면 머리 아파지죠. 그리고 개인의 사생활이 털리게 되면 돈 보다 더 많은 것을 잃을 수도 있습니다.

크리덴셜 스터핑(Credential Stuffing) 피해 사례

• 연예인 사생활 유출 : 대표적인 예가 주진모 카톡 해킹 유출 사건 입니다.(워낙 유명하고.. 다들 아시는 내용이라 따로 캡처는 올리지 않겠습니다.)
• 스타벅스 : 충전금 털림
• 지마켓 : 상품권 핀번호 도용
• 페이팔 해킹 : 공격이 시작된지 2주만에 이상 징후를 포착하게 됐는데 그 짧은 기간 동안 3만 4942명의 이름, 주소, 사회 보장 번호, 납세자 식별 번호, 생년월일 등 중요 정보들이 공격자의 손에 넘어갔다고 합니다. 이 정보는 다크웹 같은 어둠의 경로로 거래됩니다. 특히 ‘확인된 개인정보’는 더 비싼 가격에 팔린다고 해요.
• Jason’s Deli : 미국 레스토랑 체인점인데 크레덴셜 스터핑 공격으로 무려 34만명이 정보가 털렸어요.
• VF Corporation : 노스페이스, 반스, 팀버랜드, 디키즈 등 유명 패션 브랜드를 가진 모회사 입니다. 20만명의 개인정보가 크레덴셜 스터핑으로 유출된 적이 있습니다.
• 워크넷 : 구인직 해보신 분들에게는 매우 익숙하죠. 한국 정부에서 운영하는 사이트 입니다. 무려 23만 6천여명의 개인정보가 유출되었죠. 이와 비슷한 사례로 인크루트도 과거 3만5천명 정도 유출이 있었어요.
• 인터파크 : 78만명 유출
• 한국고용정보원 : 23만건 유출

이 외에도 엄청나게 많을거예요.

지문 인증, 전화(문자) 인증 등 복합 인증을 더 많이 요구하게 된 원인 중 하나 입니다.

크리덴셜 스터핑 예방법

가장 쉽고 꼭 해야하는 것이 모든 사이트의 비밀번호를 다르게 사용하는 것입니다.(+ 정기적은 변경) 아이디까지 모두 다르게 하려면 너무 복잡해지기 때문에 비밀번호라도 절대 중복되지 않게 사용하시는게 중요합니다. 40자리가 넘는 비밀번호를 사용하신다 하더라도 여기저기 중복으로 사용된다면 그 힘은 희석됩니다.

모두 다르게 관리하려면 ‘패스워드 매니저‘ 즉 비밀번호 관리 프로그램이 필수입니다. 친구중 수학적 사고력이 매우 뛰어나고 기억력도 정말 좋은 애가 하나 있는데, 본인 머리 믿고 자기만의 패스워드 생성 방식으로 만들어 오래 관리했습니다. 그런데 나이가 들기 시작하니 헷갈리기 시작하고 잊어버리기도 하더군요 ㅋㅋ

비밀번호 관리앱 사용하시는 것이 가장 현명한 방법입니다. 마스터 비밀번호만 복잡하게 잘 만들어서 그거 하나 제대로 기억하면 되는거예요. 당연히 2차인증까지 다 걸어놔야겠죠.

무료 중에서 Bitwarden을 추천드립니다. 이유는 오픈소스, 혜자스러운 무료 계정, 기능적인 부분도 훌륭하기 때문입니다.

굳이 유료 버전을 사용하지 않으셔도 괜찮아요. 쓰다가 나중에 유료 기능이 필요하다고 해도 1년에 10달러밖에 안합니다. 저도 한 때 더 확실한 보안을 위해서 오프라인 전용 패스워드 관리 앱을 사용했던 적이 있는데.. 나이가 들면서 이런저런 일에 신경쓸게 많아지게 되면서 더 편리한 것을 선택하게 됐습니다.

어차피 요즘 웬만한 패스워드 서비스 제공 업체들은 영지식 암호화로(서비스 제공자도 무엇이 저장되는지 알 수 없음) 관리하기 때문에 마스터 패스워드를 모르면 해커가 서버를 털어가도 내가 저장한 아이디와 비번을 알 수 없습니다.

그렇습니다.