[데이터넷] 인증 트래픽의 19.4%가 크리덴셜 스터핑이었으며, 크리덴셜 스터핑 트래픽의 65%는 브라우저나 사용자 에뮬레이션이 없는 정교하지 않은 HTTP 요청인 것으로 분석됐다. 이는 F5의 ‘2023 아이덴티티 위협 리포트’에 따른 것으로, 인증 엔드포인트에서 발생한 악성 자동화 트래픽의 약 20%는 마우스 움직임과 키 입력 등 실제 브라우저에서 사람의 행동을 성공적으로 에뮬레이션하는 정교한 트래픽으로 나타났다.

크리덴셜 스터핑은 미리 입수한 개인정보를 이용해 로그인을 시도하는 공격으로, 사용자들이 여러 ID 공급업체에 비밀번호를 재사용하고 있으며, 개인정보 유출 사고가 발생해도 비밀번호를 바꾸지 않거나, 유추하기 쉬운 비밀번호를 사용한다는 사실을 이용하는 공격이다.

크리덴셜 스터핑 공격 중 자동화 봇을 이용해 무차별 대입을 하는 것을 넘어 봇 방어 솔루션을 우회하는 중간수준의 공격이 10~15%, 실제 사람의 접근인 것처럼 위장하는 것이 20%를 차지해 방어가 더 어려워지고 있는 것으로 나타났다.

계정 탈취를 위한 피싱도 상당한 위협으로 다가온다. 보고서에서는 마이크로소프트, 페이스북, 구글, 애플 등 대규모·연합 ID 공급업체에 대한 피싱을 경고했으며, 리버스 프록시를 악용하는 중간자 공격(AiTM)에 의한 계정탈취도 위험하다고 밝혔다.

피싱은 사회공학 기법을 이용하기 때문에 탐지와 예방이 어렵다. 반면 공격자는 서비스형 피싱(PhaaS)을 이용해 쉽게 공격할 수 있는데, PhaaS는 초보 공격자를 위한 기초적인 솔루션부터 인프라, 호스팅, 코드를 포함하는 맞춤형 프레임워크 구현까지 다양한 옵션을 제공한다. 또 피싱 전용 호스팅 서비스도 제공해 공격자가 더 쉽고 빠르게 공격 목표를 달성할 수 있게 한다.

취약점 제거로 공격 가능성 낮춰야

계정탈취를 위한 다양한 공격을 방어하기 조직은 일정 횟수 이상 로그인 실패 시 추가 로그인 시도를 차단하고 사용자에게 경고를 준다. 또 짧은 시간 동안 비정상적으로 반복적인 로그인 시도가 발생하거나 기업이 임의로 생성한 가짜 계정으로 로그인 시도할 때 이를 추적해 방어하는 방법을 사용한다. 보안 브라우징으로 피싱 시도를 차단하는 방법도 사용한다.

공격자는 이러한 방어 기법을 우회하는 정교한 방법을 고안하고 있으며, 다크웹에서 성공적인 우회 공격을 공유한다. 디지털화가 빠르게 진행되면서 공격 대상 서비스가 크게 늘어났으며, 기본 보안 설정이 취약한 서비스도 많아져 공격은 더욱 극심해지고 있다.

F5는 복잡하고 어려운 계정탈취 공격 방어를 위해 ID 공급업체가 지능형 봇 방어 솔루션을 이용해 크리덴셜 스터핑 공격을 선제적으로 차단하고, FIDO2 등을 이용한 MFA와 패스키를 구현할 것을 권고했다. 더불어 디지털 ID와 ID 서비스와 웹 서비스 전반에서 취약점을 빠르게 찾아 제거해야 한다고 설명했다.

김선애 기자 다른기사 보기