보안동향

최신 보안정보를 신속하게 전해드립니다.

[보안이슈]크리덴셜 스터핑을 통한 정보유출 이슈

2019-08-28

2018년 발생했던 “우리은행 부정 로그인 시도” 이슈는 인터넷 사용자들의 비밀번호 재사용 습관에 있어 경각심을 불러 일으키기에 충분하지 못 했던 것으로 보여진다.  지난 19일 커피전문점 스타벅스가 크리덴셜 스터핑 공격을 받아 일부 고객의 충전금이 탈취되는 사고가 발생했다는 언론매체의 보도가 그것을 보여준다고 할 수 있다.

 

구글의 통계에 따르면 크롬 Password Checkup 확장 프로그램 사용자의 약 25%만이 비밀번호 유출 안내에 따라 비밀번호를 변경했다고 하니 사용자의 보안 불감증은 여전히 보안업계 종사자와는 그 거리를 좁히기가 어려워 보인다.

 

특정 연구결과에 따르면 복잡한 패스워드 생성 규칙과 의무적인 패스워드 변경 정책이 충분한 보안 효과를 가지지 못한다고 지속적으로 보고되고 있으며 이렇듯 인터넷 사용자들의 패스워드의 재사용 문제는 안전한 인터넷 환경을 조성하기에 커다란 걸림돌이 되고 있다. 

 

  • Credential Stuffing attack 이란?

크리덴셜 스터핑이란, 보안적으로 취약한 구조를 가진 웹 사이트에서 탈취하거나 다크웹을 통해 획득한 사용자의 인증 정보(credential)를 대입해보는(stuffing) 공격 기법이다. 

▲ Credential stuffing attack

크리덴셜 스터핑은 사용자의 올바른 ID/PW쌍을 이용하기 때문에 명확한 탐지 정책을 만들 수 없으며, 이로 인해 보안 장비에서 크리덴셜 스터핑 이슈를 탐지 및 차단하는 것이 어렵다. 하지만 위의 그림처럼 1개의 호스트에서 크리덴셜 스터핑 공격을 시도할 경우 단일 IP에서 로그인 실패가 발생하는 빈도를 확인하여 해당 IP를 차단하는 방식으로 대응할 수 있다. 

 

그러나 이러한 방식을 막기 위해 최근의 크리덴셜 스터핑 공격은 사전에 다수의 네트워크 장비, 서버를 장악하여 Botnet을 구성한 다음, 각각의 Botnet에 공격을 시도할 ID/PW쌍을 전달하여 분산 공격을 수행하는 경우도 다수 존재한다.

▲ Distributed credential stuffing attack

 

크리덴셜 스터핑 공격은 일반적으로 로그인 요청을 수행하는 패킷을 발송하는 스크립트에 ID/PW값을 변수로 받아 로그인 요청을 발송하는 형태로 수행된다. 이러한 과정에서 HTTP 헤더에서 Referer, Accept-Language, User-Agent값들이 일반적이지 않은 형태로 남는 경우도 있어, 공격이 확인되었다면 HTTP 헤더 분석을 통해 일괄적으로 차단할 수 있다.

 

  • Credential Stuffing 공격 동향

아카마이 코리아가 발표한 ‘아카마이 2019 인터넷 현황 보고서 : 금융 서비스 공격’에 따르면, 2017년 11월부터 2019년 4월까지 총 18개월의 분석 기간 동안 금융업계를 대상으로 일어난 크리덴셜 스터핑 공격이 35억 건에 달해 고객 개인 정보와 금융 정보가 위협에 노출됐다. 

 

OWASP에 의하면 크리덴셜 스터핑 공격의 성공률은 약 0.1~0.2%이며  2017년 11월부터 2019년 4월까지 크리덴셜 스터핑 공격으로 발생한 피해는 약 350만~700만건 가량 될 것으로 추정된다. 또한 이러한 공격을 통해 유출된 개인정보로 HOAX 메일, 사용자 E-mail 및 sms를 통한 피싱과 스미싱 공격 등 2차 피해도 충분히 발생할 수 있어 경제적 손실은 더욱 커질 수 있다.

 

  • 결론

탐지 및 방어의 관점에서 크리덴셜 스터핑 공격의 특징은 로그인 실패 기록이 비정상적으로 많이 남기 때문에  사전에 예방하는 것이 쉽지 않다는 점이다. 하지만 2017년 이스트소프트 크리덴셜 스터핑 공격 사태와 같이 해커에게 협박을 당하거나, 이용자의 개인정보가 유출되어 스미싱, 스피어 피싱과 같은 공격에 활용되어 제2, 제3의 피해를 유발할 수 있다. 따라서 평상 시 일일 단위, 시간대 별 평균적인 로그인 시도 횟수를 기반으로 오차범위를 확인하여 평소에 비해 비정상적인 로그인 시도나 실패가 발생하는지 확인하고, 경우에 따라 비정상적인 해외 IP를 차단하는 방법 등으로 대응할 필요가 있다. 또한 크리덴셜만으로는 로그인이 불가능 하도록 ID/PW 외의 추가적인 인증절차인 다중인증(Multi-Factor Authentication : MFA)를 도입하여 크리덴셜 스터핑 공격을 사전에 차단하는 등의 방법도 필요하다.



[reference]

https://nakedsecurity.sophos.com/2019/08/20/chrome-users-ignoring-warnings-to-change-breached-passwords/

https://www.akamai.com/kr/ko/about/news/press/2019-press/state-of-the-internet-security-financial-services-attack-economy.jsp



보안관제센터 MIR Team

목록