2022년 상반기 미국 로그인 이벤트 중 크리덴셜 스터핑 비율
61
%
자료 제목 :
2022 ID 보안 현황
The State of Secure Identity 2022
자료 출처 :
Okta, Auth0
원본자료 다운로드
발행 날짜 :
2022년 08월 26일
보안

"CIAM 침해 수단으로 크리덴셜 스터핑 급증" 옥타 보고서

Charlotte Trueman | CSO 2022.09.22
옥타의 새로운 보고서 2022 ID 보안 현황(The State of Secure Identity 2022)에 따르면, CIAM(Customer Identity and Access Management) 침해 수단으로 크리덴셜 스터핑(credential stuffing)이 급증하고 있다. 악성 봇과 자동화 툴, 비밀번호 재사용이 이런 현상을 부추기고 있다.
 
ⓒ Getty Images Bank

이번 보고서는 옥타의 액세스 관리 프랫폼 오스제로(Auth0)의 전 세계 고객이 자체적으로 보고한 데이터를 기반으로 작성됐다. 데이터 집계 결과, 오스제로 네트워크의 전체 트래픽 중 34%가 크리덴셜 스터핑 시도로 구성된 것으로 나타났다. 이는 약 100억 번의 시도에 해당한다. 크리덴셜 스터핑 공격이 하루에 3억 번 이상 치솟은 경우는 2022년 1분기에 2번 발견됐다.

또한 미국에서 발생한 전체 로그인 이벤트의 61%는 크리덴셜 스터핑인 것으로 나타났으며, 이런 계정은 2022년 3월 이후 85%로 급증했다. 크리덴셜 스터핑은 가입 공격(signup attack), MFA(multi-factor authentication) 우회 공격, 일반 트래픽, 실사용자의 로그인 시도 실패 이벤트보다 많았다.

 
CIAM를 노리는 공격자들

CIAM 서비스를 겨냥한 공격은 수동으로 실행된 공격부터 광범위한 자동화 기능과 무차별 대입 전술을 사용한 대규모 접근에 이르기까지 다양했다. 옥타의 보고서는 CIAM에 대한 공격을 사기성 가입, 크리덴셜 스터핑, MFA 우회 3가지 범주로 분류했다. 세션 하이재킹, 비밀번호 스프레이, 세션 ID URL 재작성 공격이 큰 비중을 차지했다. 

보고서에 따르면, 사기성 가입 위협이 점차 커지고 있다. 오스제로는 에너지/유틸리티, 금융 서비스 부문에서 사기성 가입 비율이 가장 높았고 가장 두드러지는 위협이다. 반면 대부분 산업의 로그인 이벤트 중에서 크리덴셜 스터핑이 차지하는 비율은 10% 미만이었다. 로그인 시도는 소매/전자상거래, 금융 서비스, 엔터테인먼트, 에너지/유틸리티 산업에서 가장 많이 발생했다. 

오스제로 플랫폼 전반에서 크리덴셜 스터핑은 전체 트래픽/인증 이벤트의 34%를 차지하는 한편, 가입 사기는 2022년 1분기에 약 23% 발생해 지난해 같은 기간(15%)보다 증가했다. 

또한 2022년 상반기는 오스제로의 데이터 세트에서 MFA 공격 기준치가 그 어느 해보다 높은 시기였다. 최근 우버의 보안 침해 사건이 단적인 예다. 해커가 다크웹에서 입수한 우버 직원의 크리덴셜로 액세스를 시도했는데, 해당 직원이 해커가 전송한 2중 인증 요청을 승낙하면서 발생한 사건이다. 

오스제로 보고서가 인용한 2022 버라이즌 데이터 침해 조사 보고서(Verizon’s Data Breach Investigation Report 2022)에 따르면, 데이터 침해의 절반 가까이는 도용된 크리덴셜에서 시작해 직원과 고객을 위협한다. 웹 애플리케이션에 대한 공격과 관련된 침해의 80% 이상은 도난당한 자격 증명에 기인한다.


CISO가 해야 할 조치

고객 대면 애플리케이션 및 서비스 제공업체는 사기성 가입 및 계정 탈취 남용으로 인한 피해를 줄이기 위해 강력하고 탄력적인 기능으로 구성된 CIAM으로 보안 경계를 마련해야 한다.

오스제로는 서로 다른 계층에서 작동하고 통합된 방어 태세를 형성할 수 있도록 여러 보안 툴을 결합하라고 조언했다. 여기에는 MFA 구현, 시스템의 세부 정보를 드러내지 않는 일반 오류 메시지 사용, 실패한 로그인 시도 제한, 보안 세션 관리 방법 구현이 포함된다. 

NIST(National Institute of Standards and Technology)는 길이와 복잡성, 반복 횟수에 제한을 둔 강력한 비밀번호 정책을 권한다. 도용된 비밀번호 사용 모니터링, 기본 크리덴셜 정보가 포함된 제품 배송 제한, 일반 텍스트로만 구성된 비밀번호 제한과 같은 정책도 수반하면 좋다. 

오스제로 CISO 자미카 아론은 보고서에서 “고객 대면 애플리케이션이 다양한 위협 환경에 노출되어 있는 만큼 CIAM은 IAM(Identity and Access Management) 시장에서 중요한 부분을 차지한다. 직원 ID 관리는 로그인 시 불편함을 비교적 잘 수용할 수 있고 보안 인식 교육을 받은 사용자에 기반하지만, CIAM은 이런 요소가 부족하다. 따라서 강력한 보안 태세를 마련하고 유지하기 위해 훨씬 정교한 기술에 의존해야 한다”라고 썼다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.