웹사이트에 사용자 ID·비밀번호 무작위 입력
타성적 보안 의식·난해한 공격 탐지로 '구멍'
패스키 방식·자동화된 봇·AI 기술로 대응해야
'크리덴셜 스터핑(Credential Stuffing)'은 해커가 유출된 아이디(ID)와 비밀번호 등의 로그인 정보를 웹사이트나 앱에 무작위로 대입해 로그인에 성공하면 개인정보를 탈취하는 사이버 공격을 의미한다. 크리덴셜(Credential)은 영어로 '암호화된 개인정보'나 '로그인 자격 증명'을, 스터핑(Stuffing)은 '물건의 내부를 채우는 행위 또는 재료'를 뜻한다.
최근 기업과 기관들의 크리덴셜 스터핑 피해 사례가 급증하고 있다. 가장 최근 피해를 본 기업은 GS리테일이다. 올해 초 GS리테일 웹사이트는 이 공격으로 고객 9만여명의 개인 정보를 유출했다. 지난해 27일부터 이달 4일까지 9일에 걸쳐 해킹 공격이 이뤄진 것으로 파악됐다. 유출된 정보로 추정되는 항목은 이름, 성별, 생년월일, 연락처, 주소, ID, 이메일 등 7가지다.
크리덴셜 스터핑이 유효한 이유로는 타성에 젖은 보안 의식이 있다. 사람들은 여러 사이트에 동일한 ID와 비밀번호를 돌려쓰는 경우가 많다. 외우기 편리하고 비밀번호를 주기적으로 변경하길 불편해하기 때문이다. 해커는 이 점을 노려 사용자의 ID와 비밀번호를 대량으로 확보한 뒤 여러 사이트에 로그인을 시도한다.
여기에 대·소문자와 숫자, 특수문자 혼용 따위의 복잡한 규칙과 잦은 비밀번호 변경은 오히려 사용자가 분실을 우려해 예측하기 쉬운 비밀번호로 설정할 수 있다. 이러한 경우, 보안 위험은 더욱 증가한다. 유출된 개인 정보는 스미싱을 비롯한 각종 피싱에 활용돼 추가 피해를 유발할 수 있다.
사용자 정보란 '합법적인' 도구는 크리덴셜 스터핑 탐지를 어렵게 한다. 이 수법은 악성 코드를 삽입해 공격하는 일반 해킹과는 성격이 다르다. 권한이 없는 자가 권한이 있는 사람으로 위장하기 때문에 명확한 탐지 정책을 만들기 어려울 뿐 아니라 보안 장비에서도 공격을 차단하기 쉽지 않다.
보안 사고를 예방하기 위해선 사용자의 노력이 요구된다. 일별 또는 시간대별 로그인 횟수나 비상적인 로그인 시도·실패 발생 여부를 평소에 확인하고, 해외 IP를 차단하는 방법 등의 대응이 필요하다. ID와 비밀번호 외 추가적인 인증 절차를 요구하는 '다중인증' 방식을 활용해 크리덴셜 스터핑을 사전에 차단하는 방법도 고려할 만하다.
다만 아이피(IP) 주소를 차단하는 대응 방식은 한계가 뚜렷하다. 특정 IP에서 로그인 시도나 실패가 일어나는 빈도를 확인한 뒤 차단하는 방식을 활용해 볼 순 있다. 하지만 최근 크리덴셜 스터핑에는 사전에 다수의 네트워크 장비와 서버 등을 장악하고 분산 공격을 수행하는 수법이 포착되고 있다.
사이버 보안 업계는 크리덴셜 스터핑을 막기 위한 다양한 대응책을 내놓고 있다. 패스워드 없는 인증 방식이 대표적이다. 예를 들면 지문, 홍채 인식 등 생체 인증이 기반인 패스키 방식이 있다. 자동화된 봇(bot)을 통해 정상과 악성 트래픽을 구분하거나, 인공지능(AI)에 비정상적인 패턴을 학습시켜 보안 위험을 예측하는 기술 등이 개발되고 있다.
최호경 기자 hocance@asiae.co.kr
꼭 봐야할 주요뉴스

<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>