IT
유출된 계정정보를 이용한 사이버 공격, 크리덴셜 스터핑
어딘가에서 유출된 계정 정보를 다른 서비스에 무작위로 대입하여 로그인하는 방식의 사이버 공격.
크리덴셜(Credential)은 웹사이트와 같이 특정 정보시스템에서 사용하는 개인의 암호학적인 정보이다. 대표적으로 로그인에 사용하는 계정 정보가 있으며, 이러한 계정 정보를 알아내서 정보를 빼내는 수법이 크리덴셜 스터핑이다. 웹사이트 종류가 다양해짐에 따라 가입한 사이트별로 관리해야 하는 계정 정보도 증가하게 된다. 그러다 보니 동일한 아이디나 패스워드를 서로 다른 웹사이트나 시스템 계정으로 사용하는 경우가 많은데, 이러한 취약점을 노린 공격 기법이라고 할 수 있다. 로그인 계정 정보 외에도 공개키나 개인키, 인증기관에서 발행하는 인가 정보 등이 대상이 되며, 최근에는 스마트폰과 같은 디바이스에도 악용되는 등 그 범위가 넓어지고 있다. 크리덴셜 스터핑의 특징 크리덴셜 정보는 권한을 가진 제3자가 발급하는 경우가 많아, 개인이 정보를 잘 관리한다고 하더라도 발급자의 관리 부주의로 유출될 우려가 있다. 특히 자격증명에 사용되는 수단이 신분증이나 인증서, 위임장 등일 때에는 복제의 위험성이 높아지기 때문에 발급자에 대한 신뢰도가 더욱 중요하다. 스마트폰 등의 휴대용 기기에서는 크리덴셜 정보를 다른 기기로 옮길 수가 있어 공개키 암호 표준(PKCS; Public-Key Cryptography Standards)과 같은 표준화된 기술을 기반으로 저장한다. 크리덴셜 스터핑의 대응 방안
