[뉴스 스크랩] 보안뉴스_크리덴셜 스터핑, 전체 보호 대상 트래픽의 19.4% 차지

크리덴셜 스터핑, 전체 보호 대상 트래픽의 19.4% 차지

---

# 모든 분야에 걸쳐 표본으로 선정된 기업의 보호 대상 트래픽에서 크리덴셜 스터핑(Credential Stuffing)이 차지하는 평균 비율은 19.4%에 달했다. 다만 이에 대한 방어 조치가 취해진 이후에는 크리덴셜 스터핑 공격이 6%로 급감했다.

글로벌 보안 기업 F5는 ‘2023 개인정보 위협 보고서’ 발표를 통해 디지털 개인정보(Digital Identity)에 대한 위협이 지속해서 발생하고 있으며 진화 속도도 매우 빠르다고 분석했다. 이 보고서는 특히 디지털 개인정보에 가장 영향을 미치는 위협 요인으로 크리덴셜 스터핑(credential stuffing), 피싱(phishing), 멀티팩터 인증(MFA : Multi-Factor Authentication) 우회 등 3가지를 중점적으로 다루고 있다.

피싱 툴 및 서비스 등의 증가로 피싱 산업이 성숙하면서 피싱을 위해 필요한 기술 지식 및 비용이 점차 감소하고 있다. 특히 피싱 공격은 금융기업과 마이크로소프트, 페이스북, 구글, 애플 등 대규모 통합 로그인을 지원하는 기업들을 대상으로 주로 발생하고 있는 것으로 나타났다. 실시간 피싱 프록시 또는 중간자(MITM : Man-In-The-Middle) 피싱 등으로도 알려진 리버스 피싱 프록시(Reverse Phishing Proxies)는 이제는 접근 방식의 표준이 됐다. 이러한 프록시는 세션 쿠키를 수집해 대부분의 멀티팩터 인증을 무력화할 수 있다.

멀티팩터 우회 기술은 더욱 일반적으로 사용되고 있으며 멀웨어, 피싱, 기타 소셜 엔지니어링 벡터 기반 전략이 성과를 내면서 이 기술의 경향이 더욱 뚜렷해지고 있다. FIDO2 제품군(the FIDO2 suite)과 같은 공개 키 암호화를 기반으로 한 기술은 멀티팩터 우회 기술에 대해 더욱 강력한 대응력을 보여주고 있다.

F5 Labs가 발간한 이번 보고서는 2022년 3월부터 2023년 4월까지 전 세계 159개의 기업과 조직의 3,200억개 데이터 트랜잭션을 분석한 내용을 기반으로 작성했으며, 디지털 개인정보 위협을 완화할 수 있는 일반기업에 중립적인 권고사항을 제공하고 있다.

---

느낀점

: 크리덴셜 스터핑 공격은 하나 이상의 사용자 계정에 무단 액세스하기 위한 무차별 대입 사이버 공격의 일종이라고 한다. 유명한 공격인 거 같은데 난 처음 들어보는 공격이었다. 브루트 포스 공격의 일종인건가? 공격의 종류는 정말 무궁무진한 것 같다. 위험한 공격 중 하나인 것 같으니 좀 더 파고들어서 공부해봐야겠다.