Credential Stuffing Brute-force Attack 공격과 비교 설명

Credential Stuffing

Credential Stuffing 공격은 공격자가 일반적으로 사용자 이름 또는 이메일 주소 목록과 해당 암호로 구성된 도난당한 계정 자격 증명을 수집한 다음 자격 증명을 사용하여 대규모 자동 로그인을 통해 사용자 계정에 무단으로 액세스하는 사이버 공격 유형입니다.

즉, 데이터 유출로 얻은 Credential 데이터를 사용하여 로그인 하는 시도

• 위험 요소
  특정 사이트에서 얻은 정보로 여러 사이트에 동일한 ID, Password로 로그인이 이루어 질 경우
  2차 피해 발생

• 대응 방안
  
  • MFA (Multi - Factor Authentication)를 활용하여 보안 강화
    e.g. OTP (One Time Password), 지문, 홍채 등
  • Captcha 적용
    e.g. 로그인 시 문자 입력, 제시 단어에 맞는 그림 선택 등
  • 주기적 패스워드 변경
    동일 ID + Password 사용하지 않도록 ( 사이트 별 ID + Password 조합이 다르도록)

 

 

 

Brute-force Attack

Brute-force Attack (무차별 대입 공격)은 특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 것을 의미합니다.

대부분의 암호화 방식은 이론적으로 무차별 대입 공격에 대해 안전하지 못하며, 충분한 시간이 존재한다면 암호화된 정보를 해독할 수 있습니다.

하지만 대부분 모든 계산을 마치려면 실용적이지 못한 비용이나 엄청난 시간을 소요하기에 비밀번호의 복잡성 조합으로 공격에 대한 어느정도의 방어, 시간을 벌 수 있습니다.

 

암호를 풀기위한 대입 값의 경우의수

비밀번호 길이	경우의 수(영문+숫자조합)	경우의 수(특수문자포함)
6	61,474,519	156,238,908
7	491,796,152	1,473,109,704
8	3,381,098,545	11,969,016,345
9	20,286,591,270	85,113,005,120
10	107,518,933,731	536,211,932,256
11	508,271,323,092	3,022,285,436,352
12	2,160,153,123,141	15,363,284,301,456
13	8,308,281,242,850	70,907,466,006,720
14	29,078,984,349,975	298,824,321,028,320
15	93,052,749,919,920	1,155,454,041,309,500
16	273,342,452,889,765	4,116,305,022,165,110

 

Credential Stuffing과 Brute-force Attack의 차이점

• Brute-force Attack(무차별 대입 공격)은 임의의 문자열, 일반적으로 사용되는 암호 패턴 또는 구문의 Dictionary를 사용하여 컨텍스트 없이 자격 증명을 추측하려고 합니다.사용자가 단순하고 추측 가능한 암호를 사용한다면 무차별 대입 공격의 성공이 가능합니다.
• 무차별 대입 공격은 오랜 시간, 많은 비용, 행위에 대한 보안 솔루션의 차단등으로 공격에 실패할 가능성이 높으나,Credential Stuffing(자격 증명 스터핑 공격)은 복잡한 암호를 설정 했더라도 사용자가 사용하고 있었던 자격 증명에 대한 정보나 여러 서비스에서 공통적으로 사용하던 자격 증명 정보로 공격이 들어온다면 Brute-force Attack 보다 높은 공격 성공률을 보여줄 것 입니다.