사이버 보안 기업은 해커가 애용하는 크리덴셜 스터핑을 막기 위해 여러 대응책을 내놓고 있다. 패스워드 없는 인증부터 생체 인증, 자동화된 봇(Bot), 인공지능(AI)까지 다양하다.
에프엔에스벨류는 패스워드를 완전히 없앤 보안인증 솔루션 'BSA'을 선보인다. 패스워드리스(Passwordless)의 기술을 활용해 해커의 좋은 먹잇감이 되는 패스워드를 전혀 사용하지 않는 게 핵심이다. 인증 시 패스워드 대신 블록체인 기술로 단 한 번 사용 후 완전히 폐기되는 인증키를 발행하는 원리다. 본인인증을 위한 키는 그 어디에도 저장되지 않기 때문에 해커가 탈취해도 재사용이 원천적으로 불가능하다는 게 회사 측의 설명이다.
라온시큐어는 생체인증(FIDO) 기반 다요소인증(MFA) 플랫폼 '원패스(OnePass)'를 크리덴셜 스터핑 공격의 예방책으로 제시한다. 지문·안면·지정맥 등의 생체 인증을 포함한 핀(PIN), 패턴 등 다양한 2차 인증 환경을 구현해 놓는다면 2차 인증을 거쳐야 하기 때문에 추가 피해를 예방할 수 있어서다. 원패스는 FIDO, PIN, 패턴 등 다양한 인증 수단을 지원하고 선택 적용할 수 있다. 또 인증 팩터의 중첩으로 사용자 인증 보안 강화와 해킹 위협 대응, 기업 정보 보안 강화 등을 제공한다. 조직·사용자별 인증 체계 수립을 위한 정책 설정 및 사용자 관리 기능을 제공하며, 클라우드 환경에 최적화된 구조로 설계됐다.
아카마이는 봇 매니저로 크리덴셜 스터핑에 대응한다. 크리덴셜 공격에 자동화된 봇을 활용하는데, 아카마이 봇 매니저는 머신러닝(ML) 알고리즘, 행동 원격 측정(behavioral telemetry), 특허 기술을 사용해 정상 트래픽과 악성 트래픽을 구분한다. 기업이 무단 액세스 및 잠재적인 금전적 손실로부터 네트워크, 애플리케이션 및 서비스를 보호할 수 있도록 지원한다. 특히 아카마이는 글로벌 위협 인텔리전스를 기반으로 공격자가 사용하는 공격 툴과 기법을 파악해, 크리덴셜 스터핑 시도가 확대되기 전에 선제적으로 차단할 수 있다.
에이아이스페라는 AI 기술을 활용해 크리덴셜 스터핑을 막는다. 에이아이스페라의 크리미널 IP 이상거래탐지시스템(FDS) 솔루션은 사용자 인터넷프로토콜(IP) 주소 같은 최소한의 정보로 이상 행위와 크리덴셜 스터핑을 분석·탐지한다. AI를 적용해 비정상적인 패턴이나 의심스러운 행동을 식별·학습하고, 새로운 위협 발생 시 신속하게 분석하고 위험을 예측할 수 있다.
센스톤이 자체 개발한 OTAC(One-Time Authentication Code)은 일회성 다이내믹 고유식별 인증코드를 통해 사용자·기기를 인증하는 단방향 다이내믹 토큰 인증 솔루션이다. 아이디·패스워드나 2차 인증 없이 생성 단계에서 멀티팩터를 적용할 수 있다. 단방향으로 양방향 토큰 인프라 비용도 절감할 수 있다는 것도 강점이다.
조재학 기자 2jh@etnews.com
