자유게시판

크리덴셜 스터핑은 기존에 다른 곳에서 유출된 아이디(ID)와 패스워드(Password)를 여러 웹사이트나 앱에 대입해 로그인이 될 경우 개인정보나 자료를 유출하는 방법이다. 

 

복잡한 것을 싫어하는 많은 사람들이 모든 웹사이트나 앱에서 같은 아이디와 패스워드를 사용하는 것을 노린 방법으로, 최근 본지가 보도한 대로 홈플러스나 스타벅스 등에서 크리덴셜 스터핑을 이용한 공격으로 실제 피해를 입은 사건이 늘고 있다. 

 

글로벌 보안기업 아카마이에 따르면 2017년 11월부터 2019년 4월까지 총 18개월 동안 금융 업계를 대상으로 일어난 크리덴셜 스터핑 공격이 35억 건에 달해 고객 개인정보와 금융정보가 위협에 노출됐다.

크리덴셜 스터핑에 당하지 않으려면 우선 사용하는 웹사이트나 앱마다 서로 다른 아이디와 패스워드를 적용해야 하며, 아울러 외부로 아이디와 패스워드가 유출됐을 경우 모든 비밀번호를 바꿔야 한다. 

 

기업 및 개인의 정보 유출에 대한 해킹 피해보도는 잊혀질 만 하면 계속 발생되고 있으며, 이에 대한 피해는 심각한 수준이다. 보다 근본적으로 해킹에 안전한 2차 인증키(일회용 인증키)를 사용하여 대응하여야 한다는 인식이 사회적으로 확산되고 있는 실정이다.
 
그러므로, 정보자산 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 대체할 수 있는 새로운 적용 방안(추가 인증, 비밀번호 대체, 새로운 비밀번호)이 필요하다.

 

20201208_060935.png

 

또한, 웹사이트와 앱이 2차 인증(추가 인증)을 지원할 경우 귀찮더라도 이를 적극 활용하는 것이 좋으며, 해당 기업 역시 2차 인증을 적용하는 것이 필요하다.

 

정보자산에 대한 2차 인증(추가 인증) 솔루션인 BaroPAM을 도입해야 하는 이유는 다음과 같다. 
 
1. 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용
 
   2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 함.
  

2. 악의적인 목적으로 만들어진 프로그램인 악성코드에 의한 불법적인 원격접속을 차단

 

악의적인 목적으로 만들어진 프로그램인 악성코드 프로그램에 의하여 정보자산의 접속정보(Desktop to Application, Desktop to Desktop, Desktop to Server, Desktop to Database, Server to Server 등)를 불법 취득한 뒤 불법적으로 정보자산에 원격으로 접속하는 것을 차단 해야 함.

 

 
3. 분실.도용.해킹으로 인한 사용자 비밀번호 초기화에 적용
 
사용자 본인 스스로 로그인-ID, 특정항목, 일회용 인증키를 입력하여 맞으면 새로운 비밀번호를 등록하여 사용하게 함.
 
결론은 보안 강화를 위하여 어느 한 구간만 보안 강화는 별로 도움이 되지 않으며, 이제는 모든 정보자산에 대한 2차 인증 솔루션인 BaroPAM의 적용은 선택이 아닌 필수로 보더 더 안전하게 정보자산을 보호할 수 있다.

 


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
23 비밀번호를 일회성/휘발성 같은 동적인 보안 솔루션으로 대체 했을 때 이점 1 file 1 BaroPAM 2024.01.07 753
» 크리덴셜 스터핑에 당하지 않으려면 웹사이트와 앱에 2차 인증의 활용은 선택이 아닌 필수로 적용해야 할 솔루션 file 0 BaroPAM 2021.01.09 1851
21 클라우드 계정을 훔치는 공격인 클라우드 재킹에 대비하여 클라우드에 2차 인증의 활용은 선택이 아닌 필수로 적용해야 할 솔루션 file 0 BaroPAM 2021.01.25 1875
20 정보자산의 보안 강화를 위하여 2차 인증(추가 인증)을 도입해야 하는 이유 file 0 BaroPAM 2021.03.25 2178
19 누리아이티, 정보자산 보안 강화를 위한 인증 솔루션 ‘BaroPAM’ 조달 등록 file 0 BaroPAM 2021.07.22 5504
18 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건 file 0 BaroPAM 2023.03.31 1286
17 정보자산의 보안을 강화하기 위하여 주목해야 할 것들 file 0 BaroPAM 2023.04.05 1303
16 웹 애플리케이션 서버(WAS) 로그인 시 보안의 취약점을 개선하기 위한 사용자 식별ㆍ인증을 위하여 2차 인증의 필요성 file 0 BaroPAM 2023.03.21 1231
15 누리아이티 "정보자산의 보안강화를 위한 3단계 인증시대 열겠다" file 0 BaroPAM 2023.04.15 1403
14 비밀번호를 매번 사용할 때마다 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적보안 솔루션으로 대체 했을 때 이점 file 0 BaroPAM 2023.05.21 1309
13 Tomcat 관리자 콘솔의 보안 취약점 file 0 BaroPAM 2023.05.25 1136
12 무엇 보다도 2차 인증을 우선적으로 도입해야 하는 곳은 바로 다양한 애플리케이션이 운영되는 운영체제(OS)가 가장 기본 1 file 0 BaroPAM 2023.09.22 1000
11 정보자산의 보안 강화를 위한 2차 인증이란? file 0 BaroPAM 2023.09.30 1137
10 [디지털문서 인사이트]디지털시대 정보시스템 보안 및 인증 수단 file 0 BaroPAM 2023.10.05 1181
9 ‘정부24’ 먹통 사태가 우리에게 시사하는 의미 file 0 BaroPAM 2023.11.18 1269
8 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다. file 0 BaroPAM 2023.11.29 1382
7 한 곳 털리니 딴 곳도 털렸다-크리덴셜 스터핑(Credential Stuffing) 공격 file 0 BaroPAM 2023.12.17 700
6 간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것 2 file 0 BaroPAM 2024.02.14 230
5 '자동 로그인' 설정으로 인한 해킹의 피해를 예방할 수 있는 최선책은? file 0 BaroPAM 2024.02.20 171
4 정보자산의 관리 콘솔 접근 시 보안 강화를 위한 2차 인증(추가 인증) 적용 file 0 BaroPAM 2024.03.15 40
Board Pagination Prev 1 2 Next
/ 2
CLOSE