Cloudflare의 theNet

손상된 자격 증명의 파급효과

사용자가 조직에 대하여 위험을 증폭시키는 경우

노출된 자격 증명의 위험

한 연구에 따르면 설문조사에 참여한 직원의 44%가 개인 계정 업무용 계정 모두에서 동일한 로그인 정보를 사용하는 것으로 나타났습니다.

간단한 사용자 이름과 비밀번호 조합으로 시스템과 데이터를 보호하는 조직에는 공격자가 더 쉽고 빠르게 침입할 수 있습니다. 마찬가지로, 사전에 나오는 단어를 비밀번호로 사용하고, 유출된 비밀번호를 변경하지 않는 등 적절한 보안 수칙을 지키지 않는 사용자는 공격의 위험에 더 많이 노출될 수 있습니다.

보호된 시스템과 계정에 침투하는 가장 일반적인 방법 중 하나는 자격 증명 스터핑 공격입니다. 이 공격에서는 손상된 자격 증명(다른 조직에서 발생한 데이터 유출로 노출된 사용자 이름과 비밀번호)으로 조직의 로그인 엔드포인트에 스팸을 보낸 다음, 액세스 권한이 확보되면 추가적인 악의적 활동을 수행합니다.

도난당한 자격 증명 목록은 다크웹에서 구매 및 판매되는 경우가 많으며, 이를 사용하여 여러 조직에 침입을 시도할 수 있습니다. 이렇게 탈취한 데이터를 이용한 유출 성공률은 낮지만, 공격자가 액세스할 수 있는 자격 증명의 양이 많다는 점과 사용자가 여러 계정에서 자격 증명을 재사용하거나 유출이 알려진 후 즉시 변경하지 않는 경향이 있다는 점 때문에 유출해 성공률이 더 높습니다.

이를 넓은 시각에서 보자면, 대규모 무차별 암호 대입 공격이 진행되는 동안 Cloudflare에서는 노출된 자격 증명을 사용하는 HTTP 요청을 분당 12,000건 이상 관찰했습니다. 이러한 시도 중 일부만 성공하더라도 공격자가 침입하면 조직에 심각한 피해를 입힐 수 있습니다.

자격 증명 스터핑 공격이 시도되는 규모와 빈도로 인해 이를 방어하려면 사기성 로그인 요청을 차단하고, 강력한 인증 요건을 적용하며, 유출 발생 시 내부망 이동을 최소화할 수 있는 선제적이고 다층적인 보안 전략이 필요합니다.


자격 증명 스터핑이 여전히 작동하는 이유

자격 증명 스터핑이 성공하면 계정 탈취로 이어져 공격자는 사용자 계정을 완전히 장악하고 기밀 데이터를 훔치거나 내부 시스템을 손상시키거나 더 큰 규모의 공격을 수행할 수 있게 됩니다.

도난당한 자격 증명이 시스템에 액세스하는 데 사용되어 67,000여 명의 사용자 개인 데이터가 유출되는 심각한 자격 증명 스터핑 공격을 당한 스포츠 베팅 회사인 DraftKings를 예로 들어 보겠습니다.

이 데이터에는 실제 주소와 이메일 주소, 전화번호, 계정 잔액 정보, 결제 카드 세부 정보 일부, 기타 중요한 정보가 포함되었지만, 유출된 전체 범위는 알려지지 않았습니다. 그 결과 공격자들은 여러 사용자 계정에서 약 30만 달러를 인출할 수 있었습니다.

이와 같은 공격이 발생하면 일부 사용자는 손상된 계정의 비밀번호를 재빨리 변경할 수 있습니다. 그러나 많은 사람들이 여러 시스템에서 비밀번호를 계속 재사용하거나, 보안 침해 후에도 동일한 비밀번호를 유지하거나, 보안이 취약한 비밀번호로 변경합니다. 카네기멜론 대학교의 연구에 따르면 유출된 것으로 알려진 도메인의 계정을 가진 사람 3명 중 1명만이 이후 비밀번호를 변경한 것으로 나타났습니다.

또한, 2022년에만 해도 7억 개 이상의 자격 증명이 유출될 정도로 밝혀진 데이터 손상 사고가 많기 때문에, 사용자 자격 증명을 구매할 의도가 있는 공격자가 탈취한 사용자 자격 증명을 입수하는 것은 아주 쉬운 일입니다.

공격자는 합법적인 사용자 계정의 자격 증명을 탈취한 후 이러한 조합을 사용하여 여러 조직을 공격할 수 있습니다. 예를 들어, 직원의 업무 자격 증명이 유출되어 다크웹에서 판매되는 경우 공격자는 이러한 자격 증명을 사용하여 인기 있는 뱅킹 앱이나 기타 고가의 표적을 공격할 수 있으며, 피해자가 동일한 비밀번호를 사용하여 여러 플랫폼에 액세스하는 경우 추가적인 손실이 발생할 수 있습니다.


보안 액세스의 부담

자격 증명 스터핑과 계정 탈취로부터 보호하는 데 있어 보안 액세스에 대한 부담은 개인 사용자와 조직 모두에게 있습니다. 비밀번호를 잘 관리하는 것도 중요하지만, 다른 보안 조치가 마련돼있지 않다면 공격을 방어하는 데는 충분하지 않습니다.

예를 들어, 단일 요소 인증(예: 사용자 이름/비밀번호만 요구)에 의존하는 조직에서는 공격자가 보호된 계정과 시스템을 침해하기 위해 한 가지 형태의 공격만 수행하면 되므로 의도치 않게 사용자의 계정이 탈취될 위험에 더 많이 노출될 수 있습니다.

이와는 대조적으로 다단계 인증(예: 사용자 이름/비밀번호의 조합과 아울러 고유한 물리적 토큰을 요구)을 적용하는 조직에서는 사용자가 정기적으로 비밀번호를 업데이트하도록 요구하며, Zero Trust 보안 조치를 구현하면 자격 증명 스터핑 시도를 훨씬 더 잘 견뎌낼 수 있습니다.


방어 조치 구현

자격 증명 스터핑을 방지하려는 조직의 시도는 여러 가지 요인으로 인해 복잡해질 수 있습니다. 이 공격은 다른 회사에서 훔치거나 다크 웹에서 구매한 데이터를 사용하므로 조직에서는 자체 사용자가 유출된 자격 증명을 재사용하고 있다는 사실을 인지하지 못할 수 있습니다. 또한 공격자는 악의적인 봇을 사용하여 로그인 엔드포인트에 스팸 요청을 보내는 자격 증명 스터핑 소프트웨어를 통해 이러한 시도를 자동화하는 경우가 많습니다.

그럼에도 불구하고 조직에서 사용자와 데이터를 보호하기 위해 취할 수 있는 몇 가지 전략은 다음과 같습니다.

MFA 요구

자격 증명 스터핑에 대한 최선의 방어책은 사전 예방입니다. 보호된 시스템과 데이터에 액세스하려는 사용자에게 여러 가지 형태의 신원 확인을 요구함으로써 조직에서는 노출된 자격 증명의 용도를 변경할 수 있는 사용자의 경우에도 보안 유출이 성공할 가능성을 최소화할 수 있습니다. 보안 태세를 더욱 강화하기 위해 정기적으로 비밀번호를 재설정하도록 요구하고 사용자 비밀번호에 포함되어야 하는 길이와 문자를 지정할 수도 있습니다.

노출된 자격 증명을 사용하는 요청 차단

자격 증명 스터핑 도구로 로그인 시도를 정상적인 로그인으로 위장할 수 있지만, 조직에서는 공개적으로 사용 가능한 도난된 자격 증명 데이터베이스와 비교하여 이러한 요청을 확인하도록 웹 애플리케이션 방화벽(WAF) 규칙 집합을 구성할 수 있습니다. 일치되는 항목이 있으면 사용자에게 대화형 챌린지가 표시되거나 요청이 자동으로 거부될 수 있습니다.

Zero Trust 보안 채택

Zero Trust는 위협이 조직 네트워크 내부와 외부에 모두 존재한다고 가정하는 최신 보안 모델로, 모든 사용자, 장치, 요청을 지속해서 검증합니다. Zero Trust는 최소 권한 액세스(즉, 중요한 데이터에 대한 사용자의 노출 최소화)를 적용하여 MFA를 뛰어넘으며, 장치 ID 및 권한 확인, 반복적인 사용자 ID 확인을 수행합니다. 이러한 관행을 함께 사용하면 침입을 방지하고 내부망 이동 기회를 줄이며 성공적인 유출로 인한 영향을 줄일 수 있습니다.


자격 증명 스터핑 방지

120여 개 국가의 310개 도시를 포괄하는 강력한 전역 네트워크를 기반으로 구축된 Cloudflare는 현재 및 새로운 공격 패턴에 대한 전례 없는 인사이트를 보유하고 있습니다. 이를 통해 광범위한 자동화 공격과 표적 공격으로부터 고객을 더 효과적으로 보호할 수 있습니다.

Cloudflare Zero Trust에서는 조직에서 엄격한 액세스 요구 사항을 구현하여 무단 요청으로부터 로그인 엔드포인트를 보호할 수 있도록 지원합니다. 또한, 조직에서는 Cloudflare를 이용하여 실패한 로그인 시도를 레이트 리미팅 하고, 악의적인 봇 동작을 식별 및 차단하며, 사용자 지정 방화벽 규칙을 통해 잠재적으로 악의적인 소스로부터의 액세스 시도를 필터링함으로써 자격 증명 스터핑에 대한 취약성을 줄일 수 있습니다.

이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.


이 주제에 관해 자세히 알아보세요.

애플리케이션 보안 현황 백서를 다운로드하여 자격 증명 스터핑 및 기타 새로운 위협으로부터 조직을 방어하는 것을 Cloudflare에서 어떻게 지원하는지 알아보세요.

Get the white paper!


핵심 사항

이 글을 읽고 나면 다음을 이해할 수 있습니다.

  • 자격 증명 스터핑 공격이 계정 탈취로 이어지는 방법

  • MFA만으로는 자격 증명 스터핑을 막을 수 없는 이유

  • 볼류메트릭 공격으로부터 조직을 보호하기 위한 전략


관련 자료

가장 인기있는 인터넷 인사이트에 대한 월간 요약을 받아보세요!