IT/영어 공부노트

[뉴스읽기] 강은성의 보안 아키텍트ㅣ크리덴셜 스터핑 공격과 사업자의 역할 본문

💻 IT/뉴스&문서읽기

[뉴스읽기] 강은성의 보안 아키텍트ㅣ크리덴셜 스터핑 공격과 사업자의 역할

소저어엉 2023. 8. 24. 13:42
반응형

크리덴셜 스터핑 공격

보안이 취약한 타 사이트나 암시장 등을 통해 사전에 확보한 아이디와 비밀번호 등의 계정정보를 여러 사이트에 넣어 로그인을 시도하는 공격으로, 계정정보 대입공격이라고도 할 수 있다. 

 

2021년 상반기 침해사고 원인 ⓒ SK쉴더스, 2021년 상반기 보안 트렌드, EQST Insight, 2021.7.

위 사진은, SK쉴더스의 EQST Insight에 나와있는 표이다. 크리덴셜 스터핑은 2020년 국내 침해사고 원인의 23%, 21년 침해사고 원인의 32.5%로 침해사고 원인 중 비중이 가장 높았다. 

 

침해사고 사례 

지난 6월 개보위에서는 크리덴셜 스터핑으로 78만여건의 개인정보가 유출된 I사에 10억 3000만 원의 과징금과 과태료를 부과했다. 개인정보위의 이 처분은 개인정보 유출 보다, 한 IP에서 수십만~수백만의 접속 시도가 있었는데 탐지하지 못한 점을 지적한다는 것이다. 

강은성의 보안 아키텍트ㅣ크리덴셜 스터핑 공격과 사업자의 역할

 

보안 대책

  • 같은 IP에서 일정 수 이상의 계정에 로그인을 시도/한 기기에서 횟수 이상 로그인 시도 시 해당 IP나 기기 차단
  • 특정 계정에 대해 온라인 로그인이 일정 횟수 실패 시 로그인 차단 후 비밀번호 변경 프로세스 거치기 
  • 다중 로그인, 신규 IP나 신규 기기에서 로그인 등 이상행위 발생 시 이용자에게 통보
  • 중국 등 공격이 잦은 국외 지역에서의 접속 기본 차단
  • 이용자들을 대상으로 대대적 비밀번호 변경 캠페인 
  • 소유기반 인증 또는 생체인증을 이용한 다중인증 (가장 확실한 대응)

출처

https://www.ciokorea.com/news/299065 

강은성 교수님

 

+

과태료는 납부를 하고, 형법상 형벌은 아니어서 재판이 없으며, 안내면 강제징수 절차

과징금은 부과/징수를 하고, 위반 등으로 얻은 부당이득을 환수하는 성격이 강함! 과징금이 좀 더 큰 의미 

 

역시 다중 인증만큼 안전하고 가성비 좋은 건 없는 것 같다,, 불편할수록 도움이 되는구만요 

반응형