사용자 계정·비밀번호 빼내
여러 사이트에 동일하게 적용
또다른 정보 탈취 '악의 고리'
계정별 고유 비번·2단계 인증
추가 보안체계 도입 서둘러야
연말·연초 사이버 공격이 잇따르면서 개인정보 유출 사고가 빈번하게 일어나고 있다. 특히 해커가 즐겨 쓰는 '크리덴셜 스터핑(Credential Stuffing)' 공격방식이 잊을 만하면 등장함에 따라 각별한 주의와 대응책 마련이 요구된다.
GS리테일은 지난달 27일부터 지난 4일까지 홈페이지가 해커의 공격을 받아 9만여명의 고객 개인정보가 탈취됐다고 밝혔다. 이번 공격으로 고객의 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목의 개인정보가 유출된 것으로 추정된다. GS리테일은 해킹을 시도하는 인터넷프로토콜(IP)을 차단하고 로그인할 수 없도록 잠금 처리했으며, 개인정보가 표시된 페이지를 확인할 수 없도록 임시 폐쇄했다고 설명했다.
GS리테일은 해커 공격방식으로 크리덴셜 스터핑을 지목했다. 크리덴셜 스터핑은 공격자가 사용자 계정·비밀번호 등을 사전에 취득한 후, 사용자가 이용할 만한 사이트에 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입(Stuffing) 공격 방식을 말한다.
크리덴셜 스터핑은 매우 단순한 반복형 공격 방식이지만 효과적이어서 해커의 단골 수법으로 통한다. 실제 개인정보 유출 사고를 조사한 결과, 크리덴셜 스터핑 수법을 사용한 것으로 드러나기도 했다.
지난해 개인정보보호위원회의 처분한 개인정보 유출사고를 살펴보면, '대성마이맥' 운영사 디지털대성은 크리덴셜 스터핑과 홈페이지 게시판에 대한 '크로스사이트 스크립팅(XSS)' 공격으로 회원 9만5000여명의 개인정보가 유출됐다.
한국고용정보원과 한국장학재단도 크리덴셜 스터핑 공격을 당했다. 한국고용정보원의 구인·구직 사이트 '워크넷'과 한국장학재단 홈페이지는 크리덴셜 스터핑 공격을 받아 각각 23만6000여명, 3만2000여명의 개인정보가 해커의 손아귀에 들어갔다.
크리덴셜 스터핑이 대중적으로 잘 알려진 것은 2020년 유명 연예인을 대상으로 한 스마트폰 해킹 사건 때문이다. 해커가 연예인의 개인정보를 입수해 클라우드 계정에 접근, 개인정보를 빼갔다. 당초 스마트폰 자체를 해킹한 것으로 의심했으나, 크리덴셜 스터핑에 무게가 실렸다.
해외로 눈을 돌리면, 지난해 6월 클라우드 데이터 플랫폼 스노우플레이크의 고객사가 크리덴셜 스터핑 공격을 받아 티켓마스터, 산탄데르은행, 어드밴스오토파츠 등 여러 기업에서 수억건의 데이터가 탈취되기도 했다.
더욱이 크리덴셜 스터핑은 기존에 탈취한 계정정보를 이용하는 공격 방식이기에, 끊임없이 발생하는 개인정보 유출 사고가 후속 피해로 이어질 가능성이 크다. 보안 전문가들은 크리덴셜 스터핑 공격 성공률을 통상 0.1~0.2%로 보는 데 결코 낮은 수치가 아니라고 강조한다. 100만건의 유출 정보 가운데 1만~2만개 계정에 접근할 수 있어도 추가 피해는 눈덩이처럼 불어날 수 있어서다.
SK쉴더스는 '2025년 보안 위협 전망 보고서'에서 2023년 발생한 대규모 데이터 유출 사고 영향으로 2024년 크리덴셜 스터핑이 성행했다고 분석했다. 대개 사용자가 여러 사이트에서 동일한 로그인 정보를 사용하는 경우가 많아, 한 곳에서 유출된 정보는 다른 계정에도 쉽게 접근할 수 있는 취약점이 발생하기 때문이다. 개인정보 유출이 크리덴셜 스터핑 공격으로 이어져 또 다른 정보를 탈취하는 악의 고리가 생기는 것이다.
크리덴셜 스터핑 대응책으론 계정별 고유 비밀번호 사용, 2단계 인증(2FA) 활성화, 강력한 비밀번호 관리자 사용, 정기적인 비밀번호 변경, 로그인 시도 제한 및 캡차(CAPTCHA) 사용 등이 제시된다.
실제 크리덴셜 스터팅 공격을 당해 개인정보를 유출한 기업·기관 가운데 24시간 감시·모니터링 체계는 갖춘 곳도 있었다. 그러나 로그인 시도 및 실패율이 증가하는 형태의 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책은 미흡했던 것으로 확인됐다. 로그인 시도가 일정 횟수 이상 실패할 경우 계정을 잠그거나 암호 이외에 문자·일회용패스워드(OTP) 인증 추가 등 2단계 이상 인증 도입으로 추가 보안 체계가 필요했다는 얘기다.
전승주 에프엔에스벨류 대표는 “지난 2020년 한 해 동안 전 세계 금융업계를 대상으로 총 41억건의 크리덴셜 스터핑 공격이 발생한 것을 보면 그 심각성을 알 수 있다”면서 “서비스 제공자인 기업이 고객정보 보호를 위한 노력을 더 이상 비용이 아닌 '투자'로 보는 인식 전환이 시급하다”고 강조했다.
조재학 기자 2jh@etnews.com
