한국인터넷진흥원에서 실시한 ID·Password 설문조사에 따르면 각 사이트마다 완전히 다른 ID를 사용한다고 응답한 사람은 응답자 2,105명 중 65명에 불과한 반면, 업무용 ID까지 평소와 동일하게 만든다는 사용자는 557명에 이르렀다고 밝혔습니다. 특히, 응답자 중 170명은 개인용 계정과 업무용 계정의 ID는 물론 비밀번호까지 동일한 것으로 나타났습니다.
이렇듯 대다수 사람들은 ‘번거로움’ 보단 ‘익숙함’을 선호하는 편입니다. 하지만 그 익숙함으로 인해 공격자의 표적이 되기도 합니다.
한 예로 지난 7월 어느 한 커피 브랜드에서 해외 IP를 통해 일부 고객의 유출된 계정정보로 애플리케이션에 부정 로그인 시도를 한 정황이 포착된 바 있습니다. 공격자는 불법 취득한 아이디·패스워드를 무작위로 조합해 공격을 시도했으며, 로그인에 성공한 계정의 충전금 결제를 도용해 금전적 피해까지 발생시켰습니다.
이렇듯 여러 앱에서 한 번 유출된 아이디나 패스워드를 이용해 여러 웹사이트 및 앱에 접근해 개인정보나 자료를 탈취하거나 유출하는 공격을 크리덴셜 스터핑(Credential Stuffing)이라고 부릅니다.
크리덴셜 스터핑은 단순한 공격방식을 지니고 있으나, 그 피해는 막대합니다.
또한글로벌 보안 기업 F5의 ‘2023 개인정보 위협 보고서’ 발표에 따르면, 디지털 개인정보에 가장 영향을 미치는 위협 중 하나로 ‘크리덴셜 스터핑’을 꼽았을 정도이니 말이죠.
해결방법은 000!
사실 크리덴셜 스터핑을 막기 위한 대응 방법에 대해 여러 전문가들은 1)주기적인 패스워드 변경, 2) 2차 인증 (OTP 등) 등을 권장하고 있지만, 실질적으로 복잡한 인증절차와 재발급 등의 번거로움이 뒤 따릅니다.
기업관리자 입장에서도 마찬가지입니다. 보안솔루션을 도입하였음에도 내부 사용자에 의해 침해 당하는 경우가 종종 발생하고 합니다. 이에 대한 해결방법은 없을까요?
스플렁크가 고위 경영진과 기술전문가 인사이트를 바탕으로 한 '2024년 예측 보고서'를 발표했습니다. 보고서는 총 3가지 핵심 트렌트(▲경영진 ▲보안 ▲옵저버빌리티)예측 내용을 담았습니다. 스플렁크 코리아 지사장에 따르면 “스플렁크의 2024 예측 보고서에 따르면 AI는 방어자 및 공격자 모두가 활용할 수 있으므로 AI 기반의 공격의 영향을 최소화하기 위해서 보안 리더들은 조직 환경 전반에 걸쳐 포괄적인 회복탄력성을 확보하고 팀 간의 협력과 융합을 최우선시 해야 할 것”이라고 강조했습니다.
바이든 행정부가 올해부터 SW공급망 강화 행정명령을 발표했습니다. 이에 따라 SW개발사 및 각종 기기 제조사까지 여파가 예상된다고 보도했습니다. 행정명령의 주요내용은 ▲자기증명 요건 ▲펌웨어 포함 ▲제품보안에 대한 공급업체의 책임 등이 있습니다. 이에 따라 SW 개발에 활용되는 모든 정보를 담은 명세서인 'SBOM'을 작성, 제출해야 합니다. 자세한 내용은 '더보기'를 클릭해서 확인해보세요.
