기자명 황두길 기자
[단비뉴스 소나기] 크리덴셜 스터핑
최근 잇따른 대규모 개인정보 유출로 ‘크리덴셜 스터핑’ 위험성이 부각되고 있습니다.
크리덴셜 스터핑은 신원 증명 정보를 뜻하는 ‘크리덴셜(Credential)’과 채워 넣는 행위를 뜻하는 ‘스터핑(Stuffing)’의 합성어로, 유출된 개인정보를 여러 사이트에 무작위로 집어넣어 로그인을 시도하는 사이버 공격 수법을 의미합니다.
지난달 29일, 쿠팡은 3370만 개의 고객 계정 정보가 유출됐다고 밝혔습니다. 유출된 정보에는 이름·전화번호·이메일 등 기본 인적 정보뿐 아니라 배송 주소록과 주문 내역까지 포함된 것으로 알려졌습니다.
앞서 SK텔레콤, 예스24, 롯데카드, KT에 이어 쿠팡에서도 사고가 발생하자, 전문가들은 이번에 새로 유출된 정보가 기존 데이터베이스와 결합될 경우 비밀번호 도용 위험이 급격히 커진다고 경고했습니다.
실제로 지난 3일 지마켓은 지난달 29일 회원 60여 명의 계정이 도용돼 최대 20만 원 규모의 모바일 상품권이 무단 결제됐다고 밝혔습니다.
이번 사태에 대해 지마켓 측은 내부 서버가 뚫린 해킹은 아니라고 선을 그으면서 크리덴셜 스터핑에 따른 개인 명의 도용 사고로 추정된다고 해명했습니다.
보안 전문가들은 이러한 공격을 막기 위해 기기 인증, SMS 인증, 생체인식 등 2차 인증을 일상적으로 설정해야 한다고 조언합니다.
또한 비밀번호를 주기적으로 변경하고, 비밀번호 생성 규칙을 2~3개 마련해 사이트마다 다르게 설정하는 것도 보안을 강화하는 데 도움이 된다고 설명했습니다.
세차게 내리는 시사용어 소나기, 이번에는 ‘크리덴셜 스터핑’에 대해 알아봅니다.l (제작: 황두길 기자 / 촬영: 김여진 기자)
0 댓글