월요일 오후, 낭낭하던 업무를 뒤로하고 웹 서칭을 하던중
GS리테일 해킹 뉴스를 봤는데, 해킹 수법이 크리덴셜 스터핑이라고 처음 듣는 단어라 궁금해서 찾아봄.
크리덴셜 스터핑이란?
사용자 계정을 탈취해 공격하는 유형 중 하나로, 다른 곳에서 유출된 아이디와 비밀번호 등의 로그인 정보를 다른 웹사이트나 앱에 무작위로 대입해 로그인이 이뤄지면 타인의 정보를 유출시키는 수법
https://www.inews24.com/view/1801043
"또 개인정보 유출사고"⋯GS리테일 고객 9만명분
웹사이트 해킹으로 이름·성별·연락처 등 항목⋯"해킹 IP 차단조치" GS리테일은 지난달 27일부터 이달 4일까지 자사 웹사이트 해킹 공격으로 고객 9만여명의 개인정보 일부가 유출됐다고 6일 밝혔
www.inews24.com
크리덴셜 스터핑 사례
A사의 ‘A패스’ 서비스는 인터넷 이용자들의 이른바 ‘패스워드 기억 스트레스’를 덜어주기 위한 인터넷 익스플로러 확장 프로그램이었다. 이용자가 방문한 웹사이트에서 입력한 ID·PW를 A사 서버에 기억시켜 두었다가 해당 사이트 재방문 시 로그인 페이지에 자동으로 ID·PW 값을 넣어주는 방식.
2017년도 약 7개월간 A패스는 크리덴셜 스터핑 공격을 당했다. 해커는 다른 제3의 사이트에서 이미 탈취되어 다크웹을 떠도는 대량의 ID·PW 데이터베이스(이를 ‘Leaked DB’라 한다)를 입수한 후 이를 A패스 로그인을 위해 자동 입력했고, 그 결과 A패스 계정 16만여 건이 공교롭게도 Leaked DB에 포함된 것과 같은 ID·PW를 쓰고 있어 해커에 의해 로그인이 뚫렸고, 뚫린 A패스 계정들에 기억된 250만여 건의 타 사이트 ID·PW 정보가 탈취되었으며, 그중에는 암호화폐 거래소의 계정정보도 있어 비트코인이 절취되는 등 2차 피해가 발생했다.
결론적으로 동일한 ID와 비밀번호를 쓰는 사람들이 많기 때문에 이를 이용한 해킹 방법이라는 것...
개인정보보호위원회
업무 현장에서 궁금해 할 만한 개인정보 관련 법‧제도‧정책‧사례 등을 개인정보보호위원회 전문가들이 골라서 설명해드립니다. 개인정보 관련 모니터링과 사전검토가 필요한 기업에는 가
pipc.go.kr
해킹 예방 방법은?
이 크리덴셜 스터핑 해킹 방법을 예방하기 위해서는
비밀번호를 복잡하게 만들고, 각 사이트마다 아이디와 비밀번호를 다르게 사용하며
주기적으로 비밀번호를 바꿔야 한다고 함~
https://en.wikipedia.org/wiki/Credential_stuffing
Credential stuffing - Wikipedia
From Wikipedia, the free encyclopedia Cyberattack using mass login requests Credential stuffing is a type of cyberattack in which the attacker collects stolen account credentials, typically consisting of lists of usernames or email addresses and the corres
en.wikipedia.org
근데... 해킹 막으려고 마구마구 비번 바꿨다가
1년쯤 뒤에 가장 많이 사용하는 웹 서비스는
비밀번호 찾기가 되지않을까 싶긴함...;;
'관심사 > IT' 카테고리의 다른 글
| 드림코딩 엘리 은퇴? (0) | 2025.01.20 |
|---|---|
| 코딩 관련 무료 강의 모음 (0) | 2025.01.20 |
| 망간 건전지와 알카라인 건전지 차이점은? (1) | 2024.12.12 |
| (google fonts) Nanum Gothic 웹폰트 깨짐 현상 (1) | 2024.12.11 |
| 유튜브 일시정지 및 렉 관련 문제 해결 방법은? (9) | 2024.09.30 |
| 뭘 눌렀더니 윈도우 화면이 옆으로 넘어간 경우 단축키 (0) | 2024.08.27 |
| 알리, 테무 제품 믿지는 말아야겠다. (0) | 2024.07.01 |
| 요고 요금제 개통이 안되는 경우 (feat. 기존KT가입자) (0) | 2024.04.24 |
댓글