공격 분석 - 작동 원리
크리덴셜 스터핑 공격은 노출된 사용자 이름/비밀번호 쌍의 대규모 목록을 사용합니다. 일부 데이터 침해의 경우 부적절한 자격 증명 저장으로 인해 전체 암호 데이터베이스가 유출됩니다. 다른 곳에서는 사이버 범죄자가 암호 추측 공격을 통해 일부 사용자의 암호를 해독합니다. 크리덴셜 스터퍼는 피싱 및 유사한 공격을 통해 사용자 이름과 비밀번호에 액세스할 수도 있습니다.
These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.
After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.
크리덴셜 스터핑(Credential Stuffing) vs. 무차별 대입 공격(Brute Force Attack)
무차별 암호 대입 공격은 몇 가지 다른 특정 공격 기술을 포괄하는 일반적인 용어입니다. 일반적으로 무차별 암호 대입 공격은 공격자가 무언가가 작동할 때까지 암호에 대해 다른 조합을 시도하는 것을 의미합니다.
무차별 암호 대입 공격이라는 용어는 공격자가 암호에 대해 가능한 모든 옵션을 시도하는 공격을 나타내는 데 가장 일반적으로 사용됩니다. 예를 들어, 8자 암호에 대한 무차별 암호 대입 공격은 aaaaaaaa, aaaaaaab, aaaaaaac 등을 시도할 수 있습니다. 이 방법은 결국 올바른 암호를 찾을 수 있도록 보장하지만 강력한 암호를 사용할 수 없을 정도로 느립니다.
크리덴셜 스터핑은 사용자의 비밀번호를 추측하는 데 다른 접근 방식을 취합니다. 가능한 모든 암호 조합을 살펴보는 대신 위반으로 노출되어 사람이 사용한 것으로 알려진 암호 조합에 초점을 맞춥니다. 암호 추측에 대한 이 접근 방식은 무차별 암호 대입 검색보다 훨씬 빠르지만 암호가 여러 사이트에서 재사용된다고 가정합니다. 그러나 대부분의 사람들은 여러 사이트에 대해 동일한 암호를 재사용하기 때문에 이는 안전한 가정입니다.
크리덴셜 스터핑을 방지하는 방법
크리덴셜 스터핑은 개인 보안과 기업 보안 모두에 심각한 위험을 초래합니다. 크리덴셜 스터핑 공격이 성공하면 공격자는 사용자 계정에 액세스할 수 있으며, 여기에는 중요한 정보나 사용자를 대신하여 금융 거래 또는 기타 권한 있는 작업을 수행할 수 있는 기능이 포함될 수 있습니다. 그러나 암호 재사용에 대한 널리 알려진 위협에도 불구하고 대부분의 사람들은 암호 동작을 변경하지 않습니다.
크리덴셜 스터핑은 또한 개인 및 비즈니스 계정에서 비밀번호가 재사용되는 경우 기업을 위험에 빠뜨릴 수 있습니다. 기업은 크리덴셜 스터핑 공격의 위험을 완화하기 위해 다음과 같은 몇 가지 조치를 취할 수 있습니다.
- 다중 인증(MFA): 크리덴셜 스터핑 공격은 사용자 이름과 비밀번호만으로 계정에 로그인할 수 있는 공격자의 능력에 의존합니다. MFA 또는 2FA 를 구현하면 공격자가 성공적으로 로그인하기 위해 일회성 코드도 필요하기 때문에 이러한 공격이 더 어려워집니다.
- 캡차: 크리덴셜 스터핑 공격은 일반적으로 자동화되어 있습니다. 로그인 페이지에서 CAPTCHA를 구현하면 이러한 자동화된 트래픽 중 일부가 사이트에 도달하고 잠재적인 비밀번호를 테스트하는 것을 차단할 수 있습니다.
- 안티봇 솔루션: CAPTCHA 외에도 조직은 안티봇 솔루션을 배포하여 크리덴셜 스터핑 트래픽을 차단할 수 있습니다. 이러한 솔루션은 동작 이상을 사용하여 사이트에 대한 인간 방문자와 자동화된 방문자를 구별하고 의심스러운 트래픽을 차단합니다.
- Website Traffic Monitoring: A credential stuffing attack involves a massive volume of failed login attempts. Monitoring traffic to login pages may allow an organization to block or throttle these attacks.
- 침해된 자격 증명 확인: 크리덴셜 스터핑 봇은 일반적으로 데이터 침해에 노출된 크리덴셜 목록을 사용합니다. 취약한 암호 목록 또는 HaveIBeenPwned와 같은 서비스에 대해 사용자 암호를 확인하면 사용자의 암호가 자격 증명 스터핑에 잠재적으로 취약한지 확인하는 데 도움이 될 수 있습니다.
Harmony Browse로 크리덴셜 스터핑 방지
Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:
- 암호 재사용 차단: 직원이 웹 사이트에서 새 암호를 만들 때 Harmony Browse는 다른 계정에 동일한 암호를 사용했는지 확인합니다. Harmony Browse는 암호 재사용을 차단하여 크리덴셜 스터핑 공격의 위협을 줄입니다.
- 사용자 자격 증명 보호: 크리덴셜 스터핑 공격에 사용되는 목록에는 피싱 공격을 통해 도난당한 크리덴셜이 포함되는 경우가 많습니다. Harmony Browse는 이러한 자격 증명을 훔치도록 설계된 제로 데이 피싱 사이트를 차단합니다.
Harmony Browse가 작동하는 모습을 보려면 이 비디오를 확인하십시오.
피드백