| 내용 |
한국고용정보원과 한국장학재단도 크리덴셜 스터핑 공격을 당했다. 한국고용정보원의 구인·구직 사이트 '워크넷'과 한국장학재단 홈페이지는 크리덴셜 스터핑 공격을 받아 각각 23만6000여명, 3만2000여명의 개인정보가 해커의 손아귀에 들어갔다.
스타일러크리덴셜 스터핑이 대중적으로 잘 알려진 것은 2020년 유명 연예인을 대상으로 한 스마트폰 해킹 사건 때문이다. 해커가 연예인의 개인정보를 입수해 클라우드 계정에 접근, 개인정보를 빼갔다. 당초 스마트폰 자체를 해킹한 것으로 의심했으나, 크리덴셜 스터핑에 무게가 실렸다.
lg스타일러해외로 눈을 돌리면, 지난해 6월 클라우드 데이터 플랫폼 스노우플레이크의 고객사가 크리덴셜 스터핑 공격을 받아 티켓마스터, 산탄데르은행, 어드밴스오토파츠 등 여러 기업에서 수억건의 데이터가 탈취되기도 했다.
더욱이 크리덴셜 스터핑은 기존에 탈취한 계정정보를 이용하는 공격 방식이기에, 끊임없이 발생하는 개인정보 유출 사고가 후속 피해로 이어질 가능성이 크다. 보안 전문가들은 크리덴셜 스터핑 공격 성공률을 통상 0.1~0.2%로 보는 데 결코 낮은 수치가 아니라고 강조한다. 100만건의 유출 정보 가운데 1만~2만개 계정에 접근할 수 있어도 추가 피해는 눈덩이처럼 불어날 수 있어서다.
SK쉴더스는 '2025년 보안 위협 전망 보고서'에서 2023년 발생한 대규모 데이터 유출 사고 영향으로 2024년 크리덴셜 스터핑이 성행했다고 분석했다. 대개 사용자가 여러 사이트에서 동일한 로그인 정보를 사용하는 경우가 많아, 한 곳에서 유출된 정보는 다른 계정에도 쉽게 접근할 수 있는 취약점이 발생하기 때문이다. 개인정보 유출이 크리덴셜 스터핑 공격으로 이어져 또 다른 정보를 탈취하는 악의 고리가 생기는 것이다.
삼성워시타워렌탈크리덴셜 스터핑 대응책으론 계정별 고유 비밀번호 사용, 2단계 인증(2FA) 활성화, 강력한 비밀번호 관리자 사용, 정기적인 비밀번호 변경, 로그인 시도 제한 및 캡차(CAPTCHA) 사용 등이 제시된다.
lg워시타워렌탈실제 크리덴셜 스터팅 공격을 당해 개인정보를 유출한 기업·기관 가운데 24시간 감시·모니터링 체계는 갖춘 곳도 있었다. 그러나 로그인 시도 및 실패율이 증가하는 형태의 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책은 미흡했던 것으로 확인됐다. 로그인 시도가 일정 횟수 이상 실패할 경우 계정을 잠그거나 암호 이외에 문자·일회용패스워드(OTP) 인증 추가 등 2단계 이상 인증 도입으로 추가 보안 체계가 필요했다는 얘기다.
|
|
> 정보광장 > 질의응답
