[침해사례] 크리덴셜 스터핑 피해 기업 속출

Posted by


모든 사이트에서 똑같은 비밀번호를 사용하고 계신가요?
🙅‍♀️ 안돼!! 이제는 정말 바꾸셔야 해요. 올해 들어 크리덴셜 스터핑을 이용한 개인정보 유출이 계속되고 있어요.

크리덴셜 스터핑이란?
다른 곳에서 유출된 사용자들의 ID와 비밀번호를 이용해 여러 사이트에 로그인을 시도하고, 로그인이 될 경우 개인정보나 자료를 유출하는 무차별 대입 방법을 말해요. 같은 아이디와 비밀번호를 여러 사이트에 동일하게 사용하는 사람이 많다는 점을 이용한, 아주 기본적이면서도 강력한 공격 방법이죠.

출처: https://www.cloudflare.com/ko-kr/learning/bots/what-is-credential-stuffing

최근 피해 기업만 해도..

G마켓: 최근 피해 기업 중에 가장 피해 범위가 커 보여요. 이용자 중에서도 상품권 구매자가 크리덴셜 스터핑의 타깃이 되었어요. G마켓에서 구매한 상품권의 PIN 번호가 구매 내역에서 추가적 인증 조치 없이도 그대로 노출되는 점을 이용해 해커가 이를 탈취해간 거죠. 다른 쇼핑몰 업체에서는 PIN 번호 확인을 위해 휴대폰 인증을 추가로 요구하거나 등록된 휴대전화번호의 문자 발송을 통해서만 안내하고 있어요. G마켓에서는 이러한 보안 구조가 없었기 때문에 더욱 공격에 취약했어요.

인터파크: 크리덴셜 스터핑을 이용한 개인정보 유출 정황이 확인되었어요. 정확한 규모는 확인 중으로, 유출 여부는 이곳에서 확인하실 수 있어요. 인터파크는 과거 2016년에도 1000만 명의 개인정보가 유출되어 과징금 44억을 부과 받은 사례가 있습니다.

(해외) 페이팔: 작년 12월, 3만 5천 명의 개인정보가 유출됐어요. 이 정보를 이용한 악의적인 거래 시도는 없었다고 해요. 개인정보 유출자들에게는 비밀번호 재설정을 안내하였고, 신원 도난 모니터링 서비스를 무료로 제공해 줄 예정이에요.




댓글 남기기