정보보안기사 대비 공부 정리 2020년 사이버 위협 동향 정리 (2) - 크리덴셜 스터핑 Credential Stuffing

[크리덴셜 스터핑] (Credential Stuffing)

공격자가 확보한 크리덴셜(로그인 자격증명, Credential)을 다른 인증시스템 계정에 무작위로 대입(스터핑, Stuffing)하면서 사용자의 계정을 탈취하는 공격 방식으로 새로운 공격은 아니지만 지난 한해 동안 엄청난 증가를 보엿다.

 

계정정보 접속을 위하여 사용하는 대표적인 크리덴셜인 'id'와 'password'는 고전적인 "something you know"의 대표적인 인증 요소이며 아직까지 대부분의 서비스가 이를 활용하고 있다. 이론상 모든 사이트의 ID와 패스워드를 다르게 사용하는 것이 완벽하게 자신의 계정을 지키는 방법이고 주기적으로 패스워드도 변경해야 한다.

나도 이렇게 안하고 있다..

 

 

<<<  기업 내부정보보호를 위한 크리덴셜 스터핑 대응  >>>

기업의 보안관리자로서 기업 내부의 정보자산을 보호하기 위해서는 기업 임직원의 크리데션이 유출되는 방법에 대한 이해가 필요하며, 공격자가 이 크리덴셜을 도용하여 어떠한 위협을 가할 수 있는지에 대한 이해가 무엇보다도 우선이 되어야 한다. 크리덴셜 정보가 도난되면, 이 정보는 지하세계에서 지속적으로 재생산 될 것이며, 더욱 더 많은 방법의 공격이 발생할 수 있기 때문에 아래 5가지 영역에 중점을 두고 대응해야할 것이다.

 

1) 이메일 계정과 내부계정의 분리 : AD(Active Directory)기반의 기업 크리덴셜 관리 전략은 일반적으로 내부 ID 정보와 이메일 계정의 정보가 일치하며, 이는 크리덴셜을 유추하는데 더 쉬운 방법을 제공하므로, 이메일 계정과 내부 ID를 다르게 하는 계정관리 전략이 필요

 

2) 주기적인 패스워드 변경 ; 최소 3개월 주기로 ID의 패스워드를 기업에서 정한 복잡도와 재사용 금지 등 패스워드 관리정책을 이용하여 변경

 

3) 다단계 인증(MFA, Multi-Factor Authentication)의 구현 : FIDO(Fast Identify Online)의 생체인증 기술이나 OTP, SMS인증 등의 추가적인 인증수단을 적용 및 운영하여 인증 요소의 복잡성을 증가

 

4) 계정 활동 모니터링 : 내부 임직원의 크리덴셜 활동은 기업의 온라인 서비스보다 모니터링 총량이 절대적으로 적기 때문에 접속실패 등의 로그는 반드시 확인하고 추적할 수 있도록 프로세스 개선

 

5) 지속적인 임직원 교육 : 피싱을 인식하거나 의심스러운 링크를 클릭하지 않는 교육 자체가 크리덴셜 스터핑을 줄이는 가치있는 접근법으로, 기술보다는 사용자에게 보안의 부담을 가하는 것으로 인식되지만, 최종적이고 가장 효과적인 방법

 

기업 내부의 네트워크가 세밀하게 분리되지 않은 환경에서 공격자는 조직의 네트워크를 자유롭게 이동할 수 있다.

환경이 분리되어 사용자와 기업 내부 어플리케이션 및 서비스간에 가시성을 제공하는 경우 공격자가 측면으로 이동하여 중요한 데이터에 액세스하지 못하도록 보안 조치를 취할 수 있다는 부분도 염두해 두고 접근제어 정책을 만들어 가는 것도 중요하다.

 최근 많은 기업이 검토하고 있는 '제로 트러스트' 보안 모델을 기준으로 내부 네트워크와 외부 네트워크 모두 믿을 수 없다고 전제하고 방어 체제를 구축하는 것이 필요하다. 이와 같은 방법을 구현하기 위해서 '리스크 기반 인증' 방법의 시스템을 도입하여 로그인 하는 사용자의 액세스 위험도에 따라 가장 적합한 인증 수단을 동적으로 적용하여 사용자가 로그인을 시도하는 시간, 장소, 사용하는 디바이스 그리고 애플리케이션 종류에 따라 스코어링 하고, 이에 따른 인증 강도와 방식을 상황에 맞추어 달리 접근하게 하여야 한다.

 

 

 

 

 

출처 : KISA 2020년 1분기 사이버 위협 동향 보고서.pdf