크리덴셜 스터핑(Credential Stuffing). 패스키(Passkey) 필요성 부각

얼마 전 GS리테일로부터 날아 온 문자를 보고 깜짝 놀랐다. 해킹 공격으로 인해 내 개인정보가 유출되었단다. 유출된 정보에는 이름, 폰 번호, 이메일, 아이디, 주소, 전화번호, 생일, 성별이 포함되었다는데. TT 내가 이런 사이트에 가입을 했었는지 기억도 안나는데 개인정보 유출이라니... 황당하다 ㅎ

 

그런데... 올라오는 짜증을 꾹꾹 누르면서 곰곰히 생각해봤지만 개인으로서 특별히 할 수 있는 일이 없다. GS리테일에 개인적으로 소송을 걸 것도 아니고... 내가 가입한 수십 수백개의 웹사이트를 찾아가 비밀번호를 변경하는 것도 사실상 불가능한 일. 그냥.. GS리테일에 접속해 탈퇴하고 잊어버리는 수밖에 없었다.  

크리델셜 스터핑으로 인한 피해를 공지한 GS리테일

 

크리덴셜 스터핑(Credential Stuffing)에 의한 피해가 날로 늘어나고 있다. 이번에 나도 당한 GS리테일 해킹 건도 크리덴셜 스터핑 기법으로 당한 사례. GS리테일 메시지를 자세히 보면 "이번 해킹 공격은 타 웹사이트에서 유출된 것으로 추정되는 고객님의 계정정보(ID, 비밀번호)를 악용한 것으로..."라고 명기되어 있다. 이것이 바로 크리덴셜 스터핑이다.  

 

크리덴셜 스터핑이란?

일단 Credential이라는 말이 조금 생소할 수 있는데... 이에 대한 Wikipedia의 정의는 아래와 같다. 

 

Credential

A credential is a piece of any document that details a qualification, competence, or authority issued to an individual by a third party with a relevant or de facto authority or assumed competence to do so. 즉 권한을 가진 제3자가 개인에게 발급한 자격, 권한 등을 표현하는 문서다. 이렇게 말하면 감이 오지 않을 수 있는데... 아래 크리덴셜의 예를 보면 훨씬 쉽게 이해된다.  

 

Examples of credentials include academic diplomas, academic degrees, certifications, security clearances, identification documents, badges, passwords, user names, keys, powers of attorney, and so on. 

각종 학위 증명서, 인증서, 비밀정보 사용허가, 신분증, 배지, 비밀번호, 사용자 이름, 키, 위임장 등등. 한마디로 제3자가 인정하는 모든 종류의 개인 정보이다. (Wikipedia)

 

그렇다면 Stuffing은 뭘까? 네이버 영어사전은 아래와 같이 설명하고 있다. 

Stuff

1. (빽빽히) 채워 넣다[채우다]
2. (재빨리·되는대로) 쑤셔 넣다[쑤셔 박다] 

 

즉, 크리덴셜 스터핑(Credential Stuffing)은 개인정보를 재빨리 쑤셔 넣는 것.

어디다가? 다른 사이트에. 

 

조금 더 자세히 설명하면... 해커는 다크웹에서 다수 개인의 계정 정보를 구매한 다음, 이를 봇을 이용해 계정 주인들이 이용할만한 다른 사이트에 무작위로 계속 대입해본다. 그러면 상당수의 개인들이 동일한 아이디 패스워드 사용하기 때문에 꽤 높은 확률로 접속에 성공할 수 있는 것. 

 

그럼 그 다음은? ㅎㅎ 일단 로그인에 성공하면 그 안에서 어떤 행동이든 가능하다. 포인트를 사용한다던가 게임 머니를 탈취한다던가... 또 추가적인 개인정보를 확보해서 이메일, 문자 피싱을 시도하거나 보이스 피싱을 시도할 수 있다.

새로운 개인정보 해킹 트렌드, 크리덴셜 스터핑

반응형

 

크리덴셜 스터핑의 국내 주요 사례는 아래와 같다. 

• GS리테일. 24년 6월부터 25년 2월까지 약 158만명의 고객 정보 유출
• 해피포인트 운영사 섹타나인. 22년 7500명의 고객 정보 유출, 23년 9700명 고객 정보 유출로 과징금 및 과태로 약 15억원 부과
• 한국고용정보원 워크넷. 23년 23만 6천명의 개인 정보 유출. 이로 인해 고용정보원장 해임 
• 연예인 클라우드 접속. 개인 정보 및 사진 탈취

 

알겠는데... 그러면 이런 피해를 당하지 않기 위해서 개인들은 어떻게 해야할까? 전문가들은 아래와 같이 권한다. 

1. 비밀번호 관리 
  사이트마다 다른 비밀번호 설정 (그런데... ㅎㅎ 이게 가능한가?)
  주기적인 비밀번호 변경
  길고 높은 복잡도의 비밀번호 사용 

2. 2차 인증 설정 (이거 중요하고 현실적으로 가능한 방법인 듯)
3. 의심스러운 메일이나 문자의 URL 접속 금지

 

그런데... ㅎㅎ 현실적으로 쉽지 않은 일이다. 

 

그래서 요즘은 아예 패스워드를 없앤 패스워드리스(Passwordless) 방식의 패스키(Passkey) 도입을 고려하는 곳들이 늘고 있다. 구글, 애플, Microsoft, 삼성, 네이버, 카카오, SK Telecom 등의 주요 사업자들이 패스키를 도입하기 시작했다. 

 

패스키가 도대체 뭐냐고? 음... 포스팅이 너무 길어지는 것 같아 다음 포스팅에서 다루도록 하겠다. 일단 아래 신문기사 참조하시라. 이상 포스팅 모두 마친다.

 

https://www.khan.co.kr/article/202504021425001

비밀번호 없어도 로그인한다…국내서도 확산하는 ‘패스키’