‘다 같은’ 로그인 계정 노린 크리덴셜 스터핑 기승

가 +
가 -

사진=픽사베이

보안전문기업 아카마이가 ‘2020년 인터넷 현황 보고서’를 발간하며 2018년 1월부터 2019년 12월까지 전세계에서 총 880억건에 달하는 크리덴셜 스터핑(Credential Stuffing) 공격이 있었다고 밝혔다.

크리덴셜 스터핑은 해커가 확보한 사용자의 로그인 정보(Credential)을 다른 서비스 계정에 무작위 대입(Stuffing)하며 계정을 탈취하는 방법이다. 사용자들이 같은 로그인 정보를 여러 사이트에서 중복해 사용한다는 점을 노린 공격이다.

특히 조사기간 중 전체의 약 20% 공격이 온디맨드 동영상, OTT 같은 미디어 서비스에 집중된 것으로 나타나 해당 서비스를 이용하는 고객들의 계정 관리에 주의가 당부된다.

보고서에 따르면 미디어 서비스를 겨냥한 크리덴셜 스터핑 공격은 2019년에 전년도 대비 63% 증가했다.

아카마이는 작년 한해 온디맨드(On-demend, 주문형 비디오, 넷플릭스 같은 서비스가 해당) 콘텐츠 인기가 폭발적으로 증가한 것이 이같은 결과와 관련이 있다고 설명했다.

2019년 11억건을 기록하며 가장 많은 공격이 발생한 나라로 꼽힌 미국도 2018년과 비교하면 공격량이 162% 증가한 수치다.

레이건 아카마이 연구원은 “사용자 이름과 비밀번호가 존재하는 한 공격자는 끊임없이 이를 탈취해 악용하려고 할 것”이라며 “비밀번호를 공유하고 여러 계정에 걸쳐 동일한 비밀번호를 사용하면 크리덴셜 스터핑 공격에 쉽게 노출될 수 있다”고 말했다.

또 “로그인 정보를 엄격하게 관리하도록 소비자를 교육시키는 것도 중요하지만, 사용자 경험을 저해하지 않으면서 더욱 강력한 인증 방법을 배포하고 기술, 정책, 전문 지식을 인지하는 것은 기업의 몫”이라고 덧붙였다.