크리덴셜 스터핑으로부터 비즈니스를 보호하는 9가지 최선의 방법

게시 됨: 2022-12-08

2019년에 약 400만 명의 Canva 사용자의 사용자 이름과 비밀번호가 도난당하고 해독되어 온라인에서 공유되었다는 사실을 알고 계셨나요?

크리덴셜 스터핑 공격이었습니다.

혼란스러운?

계속 진행하기 전에 이 용어의 의미를 이해해 봅시다.

크리덴셜 스터핑 공격이란?

자격 증명 스터핑 공격은 사이버 범죄자가 사용자 자격 증명이 포함된 대규모 데이터베이스를 탈취하여 시스템을 침해하는 사이버 공격 방법입니다. 이러한 범죄자들은 ​​자동화된 시스템을 사용하여 웹 사이트 로그인 필드에서 이전에 유출된 사용자 이름과 암호 쌍에 액세스합니다.

올바른 쌍의 사용자 이름과 암호를 찾으면 다른 플랫폼에서 사용자 계정에 액세스하려고 합니다.

크리덴셜 스터핑 공격이란?

원천

이러한 사이버 범죄자는 로그인할 수 있는 계정을 탈취합니다.

초보 해커가 수백 개의 온라인 서비스 및 웹 사이트에 로그인할 수 있는 도구를 쉽게 사용할 수 있게 되면서 이 기술은 점점 인기를 얻고 있습니다.

연구에 따르면 기업은 매달 평균 12.7회의 크리덴셜 스터핑 공격을 경험하며 이로 인해 무려 600만 달러의 손실이 발생합니다.

테이블에 너무 많은 것이 있기 때문에 기업은 크리덴셜 스터핑 공격으로부터 비즈니스를 보호해야 합니다.

크리덴셜 스터핑으로부터 비즈니스를 보호하는 9가지 최선의 방법

크리덴셜 스터핑으로부터 비즈니스를 보호하는 9가지 최선의 방법

잠재적인 크리덴셜 스터핑 범죄로부터 비즈니스를 보호하려면 다음 방법을 사용하십시오.

  1. 로그인 중 다단계 인증 사용

사이버 범죄가 발생하지 않도록 하려면 다단계 인증(MFA)을 사용하여 고객이 온라인 플랫폼에 액세스할 수 있도록 하십시오. MFA를 사용하는 주요 목적은 계정 도용 위험을 줄이고 고객 계정에 보안을 제공하는 것입니다.

사용자 이름과 암호를 묻는 것 외에도 MFA는 고객이 하나 이상의 확인 요소를 완료하도록 요구하여 성공적인 온라인 공격 가능성을 크게 줄입니다.

로그인 중 다단계 인증 사용

원천

대부분의 회사는 모바일이나 이메일로 받는 4~8자리 코드인 일회용 비밀번호 또는 OTP를 사용하는 것을 선호합니다.

흥미로운 통계: 고객의 61%가 여러 서비스에서 동일한 비밀번호를 사용하므로 MFA는 고객 계정이 해킹당하는 것을 방지하기 위해 필수입니다.

  1. 이메일 주소를 사용자 이름으로 사용하지 않기

자격 증명 공격의 기반은 사람들이 동일한 사용자 이름과 암호를 재사용하는 것이므로 고객이 자신의 이메일 주소를 사용자 이름으로 사용하면 사이버 범죄자의 작업이 훨씬 쉬워집니다.

고객이 여러 웹사이트에서 동일한 사용자 이름과 비밀번호 조합을 사용할 가능성을 줄이기 위해 사용자에게 다른 이메일 주소와 사용자 이름을 사용하도록 요청합니다.

  1. 실패한 로그인 시도를 감지하기 위한 임계값 알림에 집중

자격 증명 스터핑 사이버 공격 인스턴스를 중지하는 데 매우 효과적인 기술입니다. 시스템이 'x'번의 실패한 로그인 시도를 감지하면 사용자에게 실패한 시도에 대한 자동화된 메시지를 보내고 사용자 지정 스크립트를 실행하여 이를 중지합니다.

이러한 스크립트는 일시적으로 로그인 기능을 비활성화하거나 심지어 서버를 종료하여 사이버 범죄자가 사용자 계정에 대한 원치 않는 액세스 권한을 얻지 못하도록 합니다.

흥미로운 통계: 2020년에 34억 건의 크리덴셜 스터핑 공격이 은행 및 기타 금융 서비스에 영향을 미쳤습니다.

  1. 강력한 암호 및 인증 정책 보유

가장 쉽고 널리 사용되는 예방 방법 중 하나는 강력한 암호 및 인증 정책을 사용하는 것입니다. 고객과 직원이 암호 관리자를 사용하여 고유하고 강력한 암호를 생성하도록 권장하십시오.

강력한 암호 및 인증 정책 보유

원천

직원과 고객에게 계정마다 다른 암호를 사용할 때의 이점을 알려주십시오.

또한 실패한 로그인 요청 수에 대해 엄격한 제한을 설정하십시오.

예를 들어 은행은 고객 계정을 일시적으로 동결하기 전에 3-5번의 시도만 허용합니다.

계정 동결을 해제하려면 고객이 은행을 방문하거나 고객 서비스 직원과 이야기해야 합니다.

또한 직원과 고객이 비밀번호를 정기적으로 재설정하도록 권장하십시오.

흥미롭게도 데이터 유출의 81%는 고객이 계정에 로그인할 때 취약한 암호를 사용하거나 손상된 자격 증명을 사용할 때 발생합니다.

  1. 암호 없는 인증 채택

많은 회사에서 크리덴셜 스터핑 사이버 공격을 방지하기 위해 새롭고 혁신적인 방법인 암호 없는 인증을 사용하고 있습니다.

암호를 사용하여 고객을 식별하는 대신 암호 없는 인증은 장치, 다른 계정 또는 생체 인식을 사용하여 고객을 확인합니다.

비밀번호 없는 인증은 로그인 보안을 최고 수준으로 끌어올립니다. 그것은 암호의 잠재적인 도난을 제거합니다.

이러한 방법을 사용하면 고객이 길고 복잡한 암호를 기억해야 하는 번거로움을 덜 수 있습니다.

흥미로운 통계: Z세대 고객의 78%가 여러 온라인 계정에 동일한 비밀번호를 사용합니다.

  1. 웹 애플리케이션 방화벽(WAF) 사용

웹 애플리케이션 방화벽을 구현하는 것은 사이버 범죄자의 비정상적인 트래픽을 탐지하는 탁월한 방법입니다.

대부분의 WAF는 특히 사이버 범죄자가 갑자기 많은 시도를 시도할 때 잠재적인 로그인 시도를 식별합니다.

잠재적인 크리덴셜 스터핑 인스턴스를 식별하는 것 외에도 WAF는 웹 공격 중에 발생하는 데이터 침해를 방지합니다.

전문가 팁: 모든 웹사이트에 WAF를 구현하여 데이터 유출 및 자격 증명 스터핑을 방지하세요.

  1. 자격 증명 해싱 사용

사이버 범죄자가 암호를 훔치는 것을 방지하려면 자격 증명 해싱을 사용하십시오. 자격 증명 해싱 프로세스에서 시스템은 사용자 암호를 데이터베이스에 저장하기 전에 뒤섞습니다. 사이버 범죄자가 이러한 암호에 액세스하더라도 사용할 수 없습니다.

암호 해싱은 크리덴셜 스터핑을 방지하는 데 너무 효과적일 수 있지만 사이버 범죄자가 도난당한 암호로 할 수 있는 작업을 제한하는 데 도움이 됩니다.

전문가 팁: 자격 증명 해킹은 단방향 암호화 기능인 반면 암호화는 양방향으로 작동한다는 점에서 암호화와 다릅니다. 암호화 프로세스는 되돌릴 수 있으므로

사이버 범죄자는 텍스트를 해독하기 위해 비밀 키를 얻습니다.

  1. IP 블랙리스트 사용

일반적으로 사이버 범죄자는 제한된 IP 주소 풀에 액세스할 수 있습니다. 동일한 IP 주소에서 여러 계정에 대한 로그인 시도를 발견하면 그러한 모든 IP 주소를 블랙리스트에 추가하십시오.

오탐지의 희생양이 되지 않으려면 고객 계정에 로그인하는 데 사용된 마지막 몇 개의 IP 주소를 추적하십시오. 그런 다음 의심스러운 IP 주소와 IP 주소를 비교합니다.

IP 블랙리스트 사용

원천

IP 백리스팅 사용의 유일한 단점은 사이버 범죄자가 IP 스푸핑과 같은 기술을 사용할 수 있다는 것입니다. 이 기술은 다른 IP 주소를 사용하여 시스템에 연결하고 있다는 인상을 줍니다.

이를 통해 사이버 범죄자는 자신의 신원을 숨기면서 블랙리스트를 우회할 수 있습니다.

전문가 팁: 포괄적인 IP 블랙리스트 프로세스는 사이버 범죄자가 자격 증명을 도용하고 고객의 자격 증명에 액세스하는 것을 방지합니다.

  1. 헤드리스 브라우저 사용 차단

헤드리스 브라우저는 사용자 인터페이스가 없는 웹 브라우저입니다. 이러한 브라우저는 웹 페이지에 액세스하지만 그래픽 사용자 인터페이스 또는 GUI는 사용자에게 숨겨져 있습니다.

일반적으로 개발자는 웹 사이트 및 애플리케이션 테스트와 JavaScript 라이브러리 테스트에 헤드리스 브라우저를 사용하지만 사이버 범죄자는 클릭 사기 및 고객 자격 증명에 대한 액세스 권한을 얻기 위해 헤드리스 브라우저를 사용합니다.

이러한 헤드리스 브라우저에 대한 액세스를 차단하면 의심스러운 활동을 방지할 수 있습니다.

전문가 팁: 이러한 브라우저에는 탐색할 GUI가 없으므로 자동화된 스크립트 또는 명령줄 인터페이스를 사용하여 이러한 브라우저를 제어하거나 차단합니다.

크리덴셜 스터핑 공격의 예

크리덴셜 스터핑 공격은 처음부터 모든 부문의 비즈니스에 영향을 미쳤습니다. 눈에 띄고 주목할만한 공격은 다음과 같습니다.

노스 페이스

잘 알려진 아웃도어 소매업체인 The North Face는 2020년에 대규모 크리덴셜 스터핑 공격에 직면했습니다. 공격자는 고객 이름, 전화번호, 청구서, 배송 주소, 이메일 기본 설정, 좋아하는 상품과 같은 정보에 액세스할 수 있었습니다.

공격 후 North Face는 확인되지 않은 수의 고객에 대해 암호를 재설정해야 했습니다. 또한 회사는 의심스러운 출처의 계정 로그인 비율을 줄였습니다.

HSBC

2018년 말에 HSBC는 대규모 크리덴셜 스터핑 공격에 직면하여 수천 명의 고객의 금융 보안을 위협했습니다.

은행은 영향을 받은 모든 고객의 온라인 계정에 대한 액세스를 중단하고 온라인 뱅킹 계정의 비밀번호를 변경하는 절차를 시작했습니다. 은행은 결국 향후 공격이 발생하지 않도록 다양한 사이버 보안 조치를 적용했습니다.

데일리모션

2019년 DailyMotion은 사이버 범죄자의 대규모 크리덴셜 스터핑 공격을 받았습니다. 비디오 공유 플랫폼은 영향을 받는 모든 고객에게 경고하고 각 고객에게 맞춤형 지원을 제공했습니다.

던킨 도넛

3개월 동안 Dunkin Donuts는 크리덴셜 스터핑 공격을 두 번이나 당했습니다. 공격자는 고객의 이름, 성, 이메일 주소, 16자리 Dunkin Donuts 계정 번호 및 특전 QR 코드에 액세스할 수 있었습니다. Dunkin Donuts는 고객에게 이 공격에 대해 적극적으로 알렸습니다.

회사는 추가 공격을 방지하고 고객 세부 정보의 보안을 보장하기 위해 다양한 조치를 사용했습니다.

전문가처럼 크리덴셜 스터핑 공격 방지

크리덴셜 스터핑 사이버 공격을 방지하기 위한 확실한 해결책은 없지만 위에서 언급한 조치를 따르면 추가 보안 계층이 제공됩니다.

사이버 범죄자와 귀사의 고객은 동일한 브라우저를 사용하므로 귀사는 잠재적인 공격을 탐지하기 위해 견고하고 효율적인 크리덴셜 스터핑 보호가 필요합니다.

중소기업이든 중소기업이든 관계없이 보안 요구 사항을 달성하고 고객의 자격 증명을 안전하게 보관하는 데 도움이 되는 평판이 좋은 보안 파트너를 확보하는 것이 필수적입니다.

이 9가지 팁을 시행할 때 모든 것을 소홀히 하지 마십시오. 귀하의 비즈니스와 고객의 자격 증명을 보호해야 합니다.