크리덴셜 스터핑이란?

* 크리덴셜 스터핑(Credential Stuffing)이란? 공격자가 여러 가지의 경로로 수집한 사용자들의 로그인 인증 정보(Credential)를 다른 사이트의 계정 정보에 마구 대입(Stuffing)하는 공격 방식

 

크리덴셜 스터핑은 무차별 대입 공격 기법 중 하나입니다. 하지만 일반적인 무차별 대입 공격이 단어 조합을 이용해 비밀번호를 추측하는 방식이라면, 크리덴셜 스터핑은 유효성이 검증된 정보의 목록을 입수해 이를 활용한다는 차이가 있는데요. 이런 점에서 다른 기법에 비해 공격이 훨씬 쉽고 성공률도 높아져 사이버 범죄자들이 가장 선호하는 기법으로 알려져 있습니다.

 

크리덴셜 스터핑 예방법: 먼저 개인의 경우, 한 가지의 ID와 비밀번호 조합을 반복적으로 사용하는 것을 피하고, 가능하면 주기적으로 로그인 정보를 변경하는 것이 도움이 됩니다.

기업의 경우, 비밀번호 외에도 문자인증, OTP인증 등의 다중인증 옵션을 도입하면 크리덴셜 스터핑 이후 두 번째, 세 번째 보안 인증을 뚫는 것은 힘들어질 수 있습니다.

 

 

참조: https://www.samsungsemiconstory.com/2187
참조: https://blog.alyac.co.kr/2699 [이스트시큐리티 알약 블로그]