2020년 10월 08일부터 9일 사이 아웃도어 업체인 The North Face에 Credential Stuffing을 활용한 공격이 발생했다. 이러한 공격으로 인해 The North Face 측은 고객에게 비밀번호 재설정에 관한 내용을 공지하였다.
1. 공격 개요
공격이 발생한 웹 주소는 thenorthface.com으로, 공격자는 다른 웹 사이트에서 획득한 Credential dump를 이용해 thenorthface.com의 고객의 계정에 로그인 시도를 한 정황이 드러났다. The North Face 측은 “공격자가 로그인 공격에 성공했어도 고객의 계정과 연동되어 있는 결제 정보(결제 카드 번호, 만료일, CVV 등)는 토큰화 되어 보관되기 때문에 신용카드 정보의 유출 가능성은 적다”고 말했다. 따라서 실제 공격자가 확인 가능한 정보는 아래와 같을 것으로 추정된다.
| 가. thenorthface.com 사이트에서 구매한 정보 나. 계정의 “favorites” 항목에 저장된 물품 정보 디. 구매 및 배송 주소 정보 라. VIPeak 리워드 포인트 정보 마. 이메일 기본 설정 바. 이름 사. 생일(선택입력정보) 아. 전화번호(선택입력정보) |
2. Credential Stuffing 공격 방법
Credential Stuffing 공격이란, Credential dump를 통해 기 획득한 사용자의 로그인 정보를 이용해 다른 사이트에 무작위로 대입하여 로그인을 시도하는 공격으로, 무차별 대입공격(Brute Force)의 하위개념으로 볼 수 있다. 일반적으로 Credential Stuffing 공격은 대규모의 봇넷을 구성하여 다수의 IP를 이용해 Credential dump를 통한 로그인 Brute Force 공격을 시도하는 것으로 알려져있다.
[그림 1] Credential Stuffing Process - FBI(National Cyber Investigative Joint Task Force)
Credential dump의 예시로는 Collection #1~#5, Cit0day 덤프 등이 있는데, 주로 딥웹이나 다크웹에서 많이 거래된다. 딥웹 및 다크웹에서 유포되는 Credential dump 목록의 대부분은 침해사고 당시 유출된 데이터이며, 상당수가 SQLi 공격에 의한 것이다.
[그림 2] 실제 다크웹에서 판매하고 있는 Credential dump - raidforums.com
아카마이 보고서에 따르면, Credential Stuffing 공격에 대한 모니터링을 한 결과, 공격자의 소유가 아닌 계정에 대한 접속시도 1건을 공격 1건으로 간주했을 때 2017.11부터 약 17개월에 걸쳐 총 550억건의 크리덴셜 스터핑 공격이 관측되었다. 또한 아카마이측은 본 공격의 발원 국가 1위는 미국, 2위는 러시아인 것으로 확인하였다.
3. Credential Stuffing 공격 사례(국내)
국내에서도 Credential Stuffing 공격은 피해갈 수 없었는데, 최근에는 공격자가 Credential dump를 삼성 클라우드 계정에 무작위로 대입하여 로그인 시도를 하였고, 성공한 계정들 중 연예인의 계정을 추려 사생활 유출의 건으로 협박을 한 사례가 있다. 또한 공인 인증서나 보안 매체 없이 앱을 통한 송금 서비스를 제공하는 업체인 토스에서도 공격자가 Credential Stuffing 공격을 통해 부정 결제를 진행한 사례가 있다.
4. 대응방안
MFA(Multi-Factor Authentication) 인증 설정
2차 비밀번호, PIN 번호, 보안 질문 등을 활용한 추가 보안대책 설정
캡챠 설정을 통한 자동 로그인 시도 금지
Device Fingerprinting(HTTP Request의 User-Agent 검증을 통한 정상 브라우저 제외 로그인 시도 금지)
예측하기 어려운 사용자명 활용
유출된 비밀번호 탐지 및 관리
OWASP에서는 Credential Stuffing 공격 대응 방안에 대한 Cheat Sheet를 제공하고 있다. 해당 문서에 따르면 Credential Stuffing 공격에 대응하기 위한 가장 중요한 방안은 Multi-Factor Authentication(MFA)이며, PIN 인증, 추가 보안 질문, CAPTCHA, IP 블랙 리스트 추출 및 대응, 디바이스를 이용한 보안 인증, 비정상적인 보안 이벤트에 대한 사용자 알림 기능 제공 등의 대응 방안을 안내하고 있다.
[Reference]
https://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet.html
https://securityaffairs.co/wordpress/110952/data-breach/the-north-face-credential-stuffing.html
https://www.bleepingcomputer.com/news/security/the-north-face-resets-passwords-after-credential-stuffing-attack/
보안관제센터 Team MIR