크리덴셜 스터핑으로 개인정보 해킹 시도한다!

 

보안 뚫리고 과징금 폭탄…크리덴셜 스터핑에 기업 울상

출처 : https://www.sedaily.com/NewsView/2GQ3PJHG0C 

■ 크리덴셜 스터핑이란?

다른 곳에서 유출된 로그인 정보를 다른 계정에 무작위 대입해 타인의 개인정보를 빼내는 수법을 말한다. 

즉 다른 곳에서 유출된 아이디(ID)와 패스워드(Password)를 여러 웹사이트나 앱에 대입해 로그인이 될 경우 타인의 개인정보 등을 유출시키는 것이다. 

이는 이용자들이 아이디와 비밀번호를 다르게 설정하는 복잡함을 피해 대다수 서비스에서 동일한 아이디와 비밀번호를 쓴다는 사실을 악용한 것이다.

 

■ 크리덴셜 스터핑에 노출되지 않기 위한 노력

1. 개인 차원

 1) 사용 중인 웹사이트/앱은 서로 다른 아이디와 패스워드를 적용한다.

 2) 특정 사이트에서 아이디와 패스워드 유출 시, 사용중인 웹사이트/앱의 패스워드를 변경한다.

 3) 오래 방문하지 않은 사이트는 탈퇴한다.

 4) 나만의 패스워드 규칙을 정한다.

  - 패스워드는 최소 8자리 이상, 대문자/소문자/숫자/특수문자 중 3종류 이상의 조합으로 만들기

  - 예측이 불가능하게 만들기 (패턴, 개인정보 포함하지 않기)

  - 정기적으로 변경하기 (분기별 변경)

  - 개별적으로 사용하기(계정별 규칙을 정하여 사용)

 

2. 기업 차원

 1) 로그인 시도에 대한 제한, 탐지, 대응 등 특이사항을 파악하여 로그인 차단 등 조치를 취해야 한다.

 2) 2단계 인증(계정 정보 외 SMS로 전송되는 인증코드 등 또 다른 정보를 입력해야만 본인을 인증할 수 있는 방식)을 적용하여 피해를 줄인다.

 3) 관리자 계정은 강력한 비밀번호를 사용하고, 정기적으로 변경한다.