크리덴셜 스터핑 (Credential Stuffing)은 수집된 사용자 이름과 비밀번호를 자동으로 대입하며 사용자 계정에 부정하게 엑세스하려는 공격을 말한다.
이 방법으로 과거 여러 해 동안의 데이터 침해 사건이 발생했고, 그 결과 수십억 개의 로그인 정보가 유출됐다. 이러한 유출된 로그인 정보는 지하 경제의 연료가 되었고, 스팸, 피싱, 계정 탈취 등에 악용됐다.
크리덴셜 스터핑 공격은 사이버 범죄자가 탈취된 사용자 이름과 비밀번호를 악용하는 대표적 방식 가운데 하나이다.
: ITworld 기사 발췌
크리덴셜 스터핑 공격이라는 용어가 주진모, 최현석 셰프 휴대전화 클라우드 해킹 사건 때문에 기사에 인용되어 확인해보니, 브루트 포스 형태, 즉 무차별 대입 공격임을 알 수 있었다. (Brute Force Attack) 기사에서도 일종의 무차별 대입 공격이지만, 일반적인 단어의 조합으로 된 사전을 이용한 대입 공격이 아니라, "데이터 침해에서 입수한 알려진 유효 인증 정보의 목록을 이용한다" 라는 점에서 차이가 있다.
CDN 및 CDN 기반 보안서비스를 제공하는 글로벌 회사 아카마이(Akamai) 에서는 관련하여 보고서를 발표하였으며, 사용자가 우선적으로 복잡한 패턴의 비밀번호를 설정하고, 각 사이트마다 다른 비밀번호 사용, 나아가 추가 인증수단인 OTP 설정 등 불편하지만 보안 설정을 강화해야 한다고 조언했다.
참고
http://www.itworld.co.kr/t/36/%EB%B3%B4%EC%95%88/135422
"보안 사고, 대부분 이것으로 시작한다", '크리덴셜 스터핑'의 의미와 예방법 - ITWorld Korea
크리덴셜 스터핑(credential stuffing)은 수집된 사용자 이름과 비밀번호를 자동으로 대입하며 사용자 계정에 부정하게 액세스하려는 공격을 말한다. 이 방법으로 과거 여러 해 동안의 데이터 침해 사건이 발생했고, 그 결과 수십억 개의 로그인 정보가 해커의 수중에 들어갔다. 이들 인증 정보는 지하 경제의 연료가 됐고, 스팸부터 피싱, 계정 탈취에 이르는 온갖 행위에 악용됐다. 크리덴셜 스터핑 공격은 사이버 범죄자가 탈취된 사용자 이름과 비밀번호를
www.itworld.co.kr
http://techm.kr/bbs/board.php?bo_table=article&wr_id=6145
스트리밍 서비스 겨냥한 ‘크리덴셜 스터핑’ 공격 증가…아카마이 보고서 발표 - 기사 | TECH M
[테크M=김태환 기자] 사용자 로그인 정보를 탈취해 다른 온라인 사이트 접근을 시도하는 크리덴셜 스터핑(Credential Stuffing) 공격이 미디어 스트리밍 서비스를 대상으로 증가하고 있는 것으로 나타났다.넷플릭스와 왓차 같은 스트리밍 서비스가 확대되고 있는 가운데 보안에서 사용자 주의가 요구된다는 지적이 나온다.보안업체 아카마이는…
techm.kr
'Cyber Security' 카테고리의 다른 글
| 비박스 환경을 활용한 웹 모의해킹 완벽 실습 - HTML Injection - Stored(Blog) (0) | 2020.01.22 |
|---|---|
| 비박스 환경을 활용한 웹 모의해킹 완벽 실습 - iframe 인젝션 (0) | 2020.01.22 |
| 비박스 환경을 활용한 웹 모의해킹 완벽 실습 - HTML Injection Refleced(POST) (0) | 2020.01.22 |
| 비박스 환경을 활용한 웹 모의해킹 완벽 실습 - HTML Injection Reflected (GET) (0) | 2020.01.22 |
| 비박스 환경을 활용한 웹 모의해킹 완벽 실습 - bee-box 환경 구성, bWAPP 실행 (0) | 2020.01.22 |