IT/영어 공부노트
[뉴스읽기] 강은성의 보안 아키텍트ㅣ크리덴셜 스터핑 공격과 사업자의 역할 본문
반응형
크리덴셜 스터핑 공격
보안이 취약한 타 사이트나 암시장 등을 통해 사전에 확보한 아이디와 비밀번호 등의 계정정보를 여러 사이트에 넣어 로그인을 시도하는 공격으로, 계정정보 대입공격이라고도 할 수 있다.
위 사진은, SK쉴더스의 EQST Insight에 나와있는 표이다. 크리덴셜 스터핑은 2020년 국내 침해사고 원인의 23%, 21년 침해사고 원인의 32.5%로 침해사고 원인 중 비중이 가장 높았다.
침해사고 사례
지난 6월 개보위에서는 크리덴셜 스터핑으로 78만여건의 개인정보가 유출된 I사에 10억 3000만 원의 과징금과 과태료를 부과했다. 개인정보위의 이 처분은 개인정보 유출 보다, 한 IP에서 수십만~수백만의 접속 시도가 있었는데 탐지하지 못한 점을 지적한다는 것이다.
보안 대책
- 같은 IP에서 일정 수 이상의 계정에 로그인을 시도/한 기기에서 횟수 이상 로그인 시도 시 해당 IP나 기기 차단
- 특정 계정에 대해 온라인 로그인이 일정 횟수 실패 시 로그인 차단 후 비밀번호 변경 프로세스 거치기
- 다중 로그인, 신규 IP나 신규 기기에서 로그인 등 이상행위 발생 시 이용자에게 통보
- 중국 등 공격이 잦은 국외 지역에서의 접속 기본 차단
- 이용자들을 대상으로 대대적 비밀번호 변경 캠페인
- 소유기반 인증 또는 생체인증을 이용한 다중인증 (가장 확실한 대응)
출처
https://www.ciokorea.com/news/299065
강은성 교수님
+
과태료는 납부를 하고, 형법상 형벌은 아니어서 재판이 없으며, 안내면 강제징수 절차
과징금은 부과/징수를 하고, 위반 등으로 얻은 부당이득을 환수하는 성격이 강함! 과징금이 좀 더 큰 의미
역시 다중 인증만큼 안전하고 가성비 좋은 건 없는 것 같다,, 불편할수록 도움이 되는구만요
반응형