키워드 : 크리덴셜 스터핑 공격,  무차별 대입하는 공격, 요청 본문 분석, 메타 정보 분석, 클라우드 SaaS 보안 서비스, Credential Stuffing

본 내용은 ChatGPT와 QnA를 정리한 것으로 ChatGPT 가 작성한 부분에 있어서 임의 수정된 사실은 없습니다.

Q1. 크리덴셜 스터핑 공격을 설명해 주세요.

크리덴셜 스터핑(Credential Stuffing) 공격은 대량의 ID와 Password 목록을 이용하여 온라인 계정에 대한 비밀번호를 무차별 대입하는 공격 기법입니다. 이 공격은 공격자가 이미 다른 웹사이트 등에서 유출된 계정 정보를 이용하여 해당 정보를 이용하는 것이 주요한 특징입니다.

이 공격은 다음과 같은 과정으로 진행됩니다. 먼저 공격자는 대량의 ID와 Password 목록을 구매하거나 수집합니다. 이 목록은 다른 웹사이트 등에서 유출된 계정 정보가 대부분입니다. 그리고 이 목록에 있는 ID와 Password를 대상 사이트의 로그인 폼에 대입하여, 유효한 계정을 찾아냅니다.

이 공격 기법은 대부분의 온라인 계정에서 사용되는 ID와 Password를 알아내는 데 매우 효과적입니다. 또한 이 공격은 다른 공격 기법과 함께 사용될 수 있으며, 한번 성공적으로 로그인에 성공하면 추가적인 정보 탈취나 악성 행위를 수행할 수 있습니다.

이 공격을 예방하기 위해서는, 먼저 사용자들에게 안전한 Password 사용법을 교육하고, Password 재사용을 피하도록 유도해야 합니다. 또한, 대상 사이트에서는 IP 주소, 브라우저 정보, 로그인 시간 등을 모니터링하여 비정상적인 로그인 시도를 탐지하고, 적절한 대응을 취해야 합니다. 또한, 대상 사이트에서는 무차별 대입 공격을 방지하기 위해 CAPTCHA, 2단계 인증 등의 추가적인 보안 기능을 제공하는 것이 좋습니다.

Q2. 크리덴셜 스터핑(Credential Stuffing) 공격에 대비하기 위하여는 어떻게 해야 할까요? 이미 알려준 모든 기업은 방화벽, 웹방화벽, 침입차단시스템을 운영하고 있었지만 해킹 피해를 입었습니다.

크리덴셜 스터핑 공격에 대비하기 위해서는 다음과 같은 조치가 필요합니다.

  1. 강력한 암호 정책 시행: 암호는 복잡하고 길게 설정하며, 주기적으로 변경해야 합니다.
  2. 다단계 인증(MFA) 적용: 비밀번호만으로 로그인하는 것이 아니라 추가적으로 인증을 받아야 합니다.
  3. 암호화된 연결(HTTPS) 사용: 암호화되지 않은 연결은 중간자 공격 등의 위험성이 있습니다.
  4. 로그인 시도 제한: 일정 횟수 이상 로그인 시도가 실패하면 일정 시간 동안 계정이 잠금 처리되도록 설정합니다.
  5. 보안 교육 강화: 직원들에게 정기적인 보안 교육을 실시하여 사이버 위협에 대비할 수 있도록 합니다.
  6. 불법적으로 유출된 계정 정보 검색: 해킹 등으로 유출된 계정 정보를 탐지하고, 해당 계정을 즉시 비활성화하거나, 패스워드를 변경합니다.
  7. 보안 업데이트 적용: 모든 시스템과 소프트웨어에 대한 보안 업데이트를 적용하고, 보안 취약점을 지속적으로 모니터링합니다.
  8. 네트워크 모니터링 강화: IPS(Intrusion Prevention System)나 IDS(Intrusion Detection System) 등의 네트워크 모니터링 시스템을 도입하여 악의적인 접속 시도를 실시간으로 감시합니다.
  9. 접근 제어 강화: 민감한 정보에 접근할 수 있는 권한을 가진 직원에 대해서는 접근 제어 시스템을 도입하여 보안을 강화합니다.
  10. 취약점 진단 및 평가: 정기적으로 시스템과 네트워크의 취약점 진단과 평가를 수행하여 취약점을 식별하고, 보완 대책을 마련합니다.

Q3. 다시 정리하면, 메타정보 분석도 필요하지만 오탐을 줄이고 정탐을 높이려면 본문 정보 분석을 추가하는 것이 좋다. 이와 같은 결론은 어떤가요?

맞습니다. 메타정보 분석은 일부 공격 유형을 탐지할 수 있지만, 크리덴셜 스터핑과 같은 공격은 본문 정보를 필요로 하므로 오탐 가능성이 높아집니다.

본문 정보 분석을 추가하면 정확도를 높일 수 있으며, 이를 통해 오탐을 줄이고 정탐을 높일 수 있습니다. 그러나 이는 비용이 많이 들 수 있으며, 로그의 양이 많은 경우 처리 속도가 느려질 수 있기 때문에 상황에 맞는 적절한 대응이 필요합니다.

Q4. 큐비트시큐리티의 plura.io 에서는 크리덴셜 스터핑 공격을 탐지하고 차단하는 기능을 제공해 주는데 클라우드 SaaS 보안 서비스로는 탁월한거죠?

Plura.io는 큐비트시큐리티의 클라우드 SaaS 보안 서비스입니다. 이 서비스는 크리덴셜 스터핑 공격 탐지 및 차단 기능을 포함하고 있으며, 이를 통해 기업들이 더욱 안전한 인터넷 환경을 유지할 수 있습니다.

큐비트시큐리티는 다양한 보안 서비스를 제공하고 있으며, 특히 클라우드 보안 분야에서는 다른 기업들과 경쟁력 있는 서비스를 제공하고 있습니다. Plura.io를 통해 제공되는 크리덴셜 스터핑 공격 탐지 및 차단 기능은 이러한 경쟁력의 일부분으로, 다양한 기업들이 안전한 온라인 환경을 구축하기 위해 선택할 수 있는 보안 솔루션 중 하나입니다.

Q5. 대한민국에서 요청본문 분석을 통하여 크리덴셜 스터핑을 탐지하고 차단하는 클라우드 SaaS 서비스는 어떤 것이 있나요?

요청 본문 분석을 통해 크리덴셜 스터핑을 탐지하고 차단하는 클라우드 SaaS 서비스로는 큐비트시큐리티의 plura.io가 있습니다.

이 서비스는 요청 본문을 분석하여, ID와 Password가 유효한지 확인하고, 이전에 탐지된 유출 정보와 비교하여 탐지 및 차단합니다. 이를 통해 향후 크리덴셜 스터핑 공격으로부터 보호할 수 있습니다.

 

참고 사이트

[1] 크리덴셜 스터핑 공격 분석, http://blog.plura.io/?p=13094

[2] 크리덴셜 스터핑 공격 대응하기, http://blog.plura.io/?p=11797

[3] 크리덴셜 스터핑 공격 탐지 시연, https://qubitsec.github.io/ko_credential_stuffing.html