Credential Stuffing

Credential Stuffing

다른 사이트에서 유출된 사용자 아이디/비밀번호 조합을 자동화 도구로 대량으로 시도하여 계정을 탈취하는 공격으로, 사용자의 비밀번호 재사용 습관을 악용

목적: 계정 탈취, 개인정보 획득, 금융 사기, 추가 공격 발판

특징: 자동화, 대량 시도, 유출 자격증명 활용, 분산 IP, 낮은 성공률(0.1-2%)

공격 방법: ① 유출된 자격증명 구매/수집 → ② 봇·스크립트로 자동 로그인 시도 → ③ 분산 IP로 탐지 회피 → ④ 성공 계정 탈취 → ⑤ 판매·악용

vs Brute Force: Brute Force(무작위 조합), Credential Stuffing(유출된 실제 조합) - 더 효율적

자동화 도구: Sentry MBA, SNIPR, OpenBullet, Selenium 기반 봇

분산 공격: 프록시/VPN/봇넷으로 IP 분산, 속도 제한 우회, CAPTCHA 우회

방어 전략

• •다요소 인증(MFA): 비밀번호만으로 로그인 불가
• •CAPTCHA: 봇 탐지 및 차단
• •속도 제한: 로그인 시도 제한(IP/계정별)
• •디바이스 핑거프린팅: 의심 디바이스 차단
• •이상 탐지: 비정상 로그인 패턴 탐지(시간/위치/실패율)
• •비밀번호 유출 체크: Have I Been Pwned API

장점(공격자): 높은 효율, 낮은 비용, 탐지 어려움

단점(공격자): 낮은 성공률, 방어 기술 발전, MFA 확산

적용사례: 전자상거래, 금융, 소셜 미디어, 게임 계정 탈취

비교: Credential Stuffing(유출조합/효율) vs Brute Force(무작위/비효율) vs Phishing(사회공학/개인)

연관: 비밀번호 유출, MFA, CAPTCHA, 속도 제한, Have I Been Pwned