'크리덴셜 스터핑'(Credential Stuffing) 방식의 해킹 공격이 유행하고 있다. 로그인이 성공할 때까지 계정(ID)과 비밀번호 조합을 계속해서 입력하는 단순한 방식인데, 예방책을 제대로 갖추지 않을 경우 대기업들도 속수무책으로 당하면서 대규모 개인정보유출 피해가 잇따르고 있다.
11일 개인정보보호위원회에 따르면 지난해 신고된 해킹 사고 유형 가운데 크리덴셜 스터핑 방식은 9건으로 집계됐다. 관리자 페이지 비정상 접속(23건), 에스큐엘(SQL) 인젝션(17건), 악성 코드(13건)에 이어 5번째에 해당하는 해킹 유형이다. 특히 그 방식이 단순한 점이 눈길을 끈다. 해킹 방식이 단순한 만큼 보안 조치를 갖추면 예방할 수 있어서다.
크리덴셜 스터핑은 과거 다른 곳에서 유출된 사용자의 인증정보(ID·비밀번호 등)를 악용해 웹사이트·앱에 지속적 접속을 시도하고, 로그인이 성공하면 개인정보를 탈취하는 방식이다. 다수가 사용하는 비밀번호 1234, love 등을 무작위로 대입해보는 방식도 동원된다.
올들어 개인정보위가 과징금·과태료 등의 처분을 내린 사례 중에도 이런 크리덴셜 스터핑에 당한 경우가 적지 않다. 최근 사례를 보면, KT알파는 자사 기프티쇼(모바일 상품권) 웹사이트의 로그인 페이지가 크리덴셜 스터핑 공격에 당했다. 해커는 540만번의 로그인을 시도, 9만8000만명의 회원 계정 로그인에 성공했다. 해커는 이를 통해 포인트를 무단 사용하기도 했다. 개인정보위는 KT알파가 이런 비정상적인 접속 시도에 대한 안전조치의무를 소홀히 했고, 사고 발생 24시간이 지나 고객에게 통지했다고 지적했다.
'해피포인트' 멤버십을 운영하는 '섹타나인'도 크리덴셜 스터핑 공격을 받았다. 해커는 고객 이름과 ID, 성별, 생년, 해피포인트 카드번호 등을 탈취했다. 특히 섹타나인은 2022년에 최초 사고를 겪은 뒤 재발방지 대책을 충분히 마련하지 않아 2023년에 또 당했다.
온라인 쇼핑몰과 TV홈쇼핑을 운영하는 SK스토아도 크리덴셜 스터핑에 당해 12만5000명에 달하는 개인정보가 유출됐다. 해커는 1초당 372회, 총 4400만번에 달하는 로그인 시도 끝에 해킹에 성공했다. 이런 대량의 반복적 해킹 시도가 가능했던 것은 SK스토아가 이에 대한 안전조치 의무를 소홀히 했고, 이용자 비밀번호 또한 암호화되지 않았기 때문이다.
개인정보위 관계자는 "크리덴셜 스터핑 공격을 예방하려면 개인정보가 포함된 웹페이지에 대한 개인정보 표시 최소화 조치, 자동입력 방지코드(CAPTCHA) 도입, 문자메시지·이메일 인증 추가 적용 등의 조치가 요구된다"고 말했다.
