유출 계정·비밀번호 무더기 대입하는 ‘크리덴셜 스터핑’ [보안TMI] 작성일 02-22 31 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">2차 피해 막으려면…사이트마다 비밀번호 달리 써야</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="qMyMgqXSM0"> <p contents-hash="5e612c6bd21f5371771cd81811bd756063ce90f045bf26e0eb9a1f06a30984f2" dmcf-pid="B9m9x1hDR3" dmcf-ptype="general">IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 '보안TMI(Too Much Information)' 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]</p> <div contents-hash="24d38cecb3e189630d52462613fda235055dbdff16b03c2b287f7debcb840db0" dmcf-pid="b2s2MtlwMF" dmcf-ptype="general"> 온라인 플랫폼·서비스 해킹 사고가 반복되면서 "내 계정(ID)·비밀번호도 이미 유출된 것 아닌가" 하는 우려는 일상이 됐다. 문제는 해킹이 한 번의 유출로 끝나지 않는다는 점이다. 유출된 계정·비밀번호가 다른 서비스 침해로 이어지고, 무단 신용카드 결제나 사생활 유출 같은 '2차 피해'로 확산될 수 있다. </div> <figure class="figure_frm origin_fig" contents-hash="80272ef431fce36dcf7f8d66e7adb0e7ea7b039d9bdf8b918f81284f6b068ebb" data-idxno="436958" data-type="photo" dmcf-pid="KVOVRFSret" dmcf-ptype="figure"> <p class="link_figure"><img alt="유출된 계정 정보를 자동 대입해 다수 사이트에 무차별 로그인 시도를 하는 '크리덴셜 스터핑' 공격을 형상화한 이미지. / 챗GPT 생성" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/22/552810-SDi8XcZ/20260222060006608khjr.png" data-org-width="1280" dmcf-mid="zXHJA9tWJp" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/22/552810-SDi8XcZ/20260222060006608khjr.png" width="658"></p> <figcaption class="txt_caption default_figure"> 유출된 계정 정보를 자동 대입해 다수 사이트에 무차별 로그인 시도를 하는 '크리덴셜 스터핑' 공격을 형상화한 이미지. / 챗GPT 생성 </figcaption> </figure> <p contents-hash="1d2aaae64078e22b7fe491c18aefa1c3ee285c69f1900ba991d80bfbdb9e9343" dmcf-pid="9fIfe3vmR1" dmcf-ptype="general">해커들은 유출된 계정·비밀번호를 다른 서비스에 무차별 대입하며 로그인을 시도한다. 이른바 '크리덴셜 스터핑(Credential Stuffing)'이다. 이는 특정 개인의 계정을 노려 비밀번호를 하나씩 추측하는 방식이 아니다. 이미 유출된 수십만~수백만 건의 계정·비밀번호 묶음을 확보한 뒤, 이를 여러 웹사이트 로그인 창에 자동으로 입력하는 방식이다. 프로그램은 초당 수십~수백 건씩 로그인을 시도하고, 그중 실제로 열리는 계정만 추려 추가 침해의 타깃으로 삼는다.</p> <p contents-hash="7b7b06a342c86eca5f6563635415d9376deea627983feaf832c82e0a78c9d689" dmcf-pid="24C4d0TsJ5" dmcf-ptype="general">이를 도난당한 열쇠 꾸러미에 비유할 수 있다. 수만 개의 열쇠를 들고 아파트 단지 전체 세대의 문을 자동으로 대조해보는 식이다. 대부분은 맞지 않지만, 옆 단지 다른 집에서도 같은 열쇠를 쓰고 있는 세대가 있다면 그대로 문이 열린다. 이 단계에서 해커의 관심은 "누구의 계정인가"가 아니라 "얼마나 많이 열리는가"다. 결국 크리덴셜 스터핑의 피해자는 특정 표적이 아니라, 여러 사이트에서 같은 비밀번호를 재사용한 사람들이다.</p> <p contents-hash="2e34d65c4ef4d97cd61193ed855ed267584f98ea8f78b0087ea7258f5485ab8a" dmcf-pid="V8h8JpyOMZ" dmcf-ptype="general">그렇다면 대응법은 단순하다. 사이트마다 비밀번호를 다르게 설정하는 것이다. 다만 현실적으로 수십 개 서비스에 전혀 다른 비밀번호 문자열을 만들어 모두 외우기란 쉽지 않다. 그래서 보안 전문가들은 '자신만의 계산식'을 만드는 방식을 권한다.</p> <p contents-hash="96ef4278860e1cc9ccea82f02e868a46628aa54f3191fb39b76ce2a7e83dac92" dmcf-pid="f6l6iUWIdX" dmcf-ptype="general">예를 들어 기본이 되는 문자열을 하나 정한다. Ra!m72처럼 영문 대소문자·기호·숫자를 섞은 핵심 코드를 만드는 것이다. 그리고 여기에 사이트별 규칙을 덧붙인다. 사이트 이름의 앞 두 글자와 가입 연도의 끝 두 자리를 조합하는 식이다.</p> <p contents-hash="4c38e9f8a49b91b041522492f1b1aa70edfe86a7097f83b94da9ba9af94b743d" dmcf-pid="4PSPnuYCMH" dmcf-ptype="general">이를 적용하면 포털(portal.kr)에는 Ra!m72po24, 쇼핑몰(shopping.kr)에는 Ra!m72sh24, 은행(bank.kr)에는 Ra!m72ba24처럼 서로 다른 비밀번호가 만들어진다. '기본 코드 + 사이트 약어 + 연도'라는 공식이 적용된 구조다. 물론 일정한 패턴이 드러난다는 한계는 있다. 그러나 동일한 비밀번호를 여러 사이트에 그대로 재사용하는 것보다는 보안 수준이 분명히 높다. 공격자가 특정 개인의 여러 계정·비밀번호를 한꺼번에 분석하는 표적형 공격이 아닌 이상, 자동화된 크리덴셜 스터핑은 통하지 않는다. 완벽한 방어책은 아니지만, 크리덴셜 스터핑을 통한 연쇄 침해는 막을 수 있다.</p> <p contents-hash="9f42441c7526ffd35beab39d762b7ceb4879d4f57da2f7623cb9a28626d2d144" dmcf-pid="8QvQL7GhJG" dmcf-ptype="general">또 다른 방법은 '단어 조합 규칙'을 활용하는 것이다. 자신만 아는 세 개의 단어를 정해두고 사이트 성격에 따라 순서를 바꾸거나 특정 위치에 숫자·기호를 추가하는 식이다. 예컨대 BlueTreeRiver를 기본으로 정했다면, 금융 서비스에는 앞에 숫자를 붙여 7BlueTreeRiver!로 쓰고, 쇼핑몰에서는 가운데 단어를 뒤로 보내 BlueRiverTree!3처럼 변형하는 방식이다. 금융 서비스와 사진·클라우드처럼 사생활 정보가 많은 서비스를 서로 다른 규칙으로 관리하면, 한쪽에서 유출이 발생해도 피해 확산을 줄일 수 있다. 핵심은 자신만이 알 수 있는 일관된 규칙을 유지하되, 외부에서는 쉽게 추정하기 어렵게 만드는 것이다.</p> <p contents-hash="ce6616bba68edb306bb68cdc84065b93b71c9ad08ff808a4e6d71e68571c52e1" dmcf-pid="6xTxozHliY" dmcf-ptype="general">이와 별도로 비밀번호를 설정할 때는 생일, 전화번호, 자녀 이름처럼 공개 정보로 유추 가능한 요소는 피하는 것이 좋다. 길이는 12자 이상으로 하고, 가능한 한 무작위성을 높이는 것이 안전하다. 문자나 인증 앱, 생체인증 등을 활용한 2단계 인증을 활성화하면 비밀번호가 노출되더라도 추가 단계에서 차단할 수 있다.</p> <p contents-hash="e03c247e020992da7c3fd77f16b264367cb10fd9ad3c62033d23eadac2ced970" dmcf-pid="PMyMgqXSMW" dmcf-ptype="general">이미 내 계정 정보가 유출됐는지도 확인할 수 있다. 한국인터넷진흥원이 운영하는 '털린 내 정보 찾기' 서비스를 활용하면 된다. 이 서비스는 공개된 유출 데이터베이스와 이용자가 입력한 이메일·아이디·비밀번호 정보를 대조해 유출 이력을 안내한다. 이력이 확인되면 해당 사이트뿐 아니라, 동일하거나 유사한 비밀번호를 사용한 다른 서비스도 함께 변경하는 것이 안전하다.</p> <p contents-hash="c0b5ea049c2c998ac1acda17b603f3916cb006052266f2627670cd8d07a34ee4" dmcf-pid="QRWRaBZvdy" dmcf-ptype="general">대형 플랫폼이 해킹당하는 것을 개인이 막기는 어렵다. 국내외를 막론하고 안전지대는 없다. 그러나 한 번 털린 계정·비밀번호를 그대로 다른 서비스에서 사용해 2차 해킹 피해를 만들 것인지는 이용자의 선택에 달려 있다.</p> <p contents-hash="a395e8264bb5de96e885882a3c417cdaa31b7a9354477828cfeaa36e30179af8" dmcf-pid="xRWRaBZvnT" dmcf-ptype="general">크리덴셜 스터핑은 짧은 시간에 대규모 요청을 반복하기 때문에 기업 차원의 탐지·차단도 중요하다. 하지만 이 공격의 본질은 비밀번호를 반복해서 쓰는 개인의 습관을 노린다는 점에 있다. 오늘부터라도 규칙을 세워 사이트마다 다른 비밀번호를 설정해보는 것은 어떨까. 꾸준히 관리한다면 해커의 '도난 열쇠 꾸러미'는 더 이상 통하지 않게 만들 수 있다.</p> <p contents-hash="03b751f4741d34336cca6f3a06c629fd19079623a361ee545d1d38f9d3b43b8a" dmcf-pid="yYMY3wiPMv" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p> 관련자료 이전 김의성 “‘부산행’ ‘미스터 션샤인’ 나 밥 벌어먹게 해줘, 고마운 작품”(인생이 영화) 02-22 다음 삼성SDI가 연 1조짜리 '황금알 낳는 거위' 파는 이유는 02-22 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
