재사용된 비밀번호, 해킹의 지름길 – 크리덴셜 스터핑이란 무엇인가?

재사용된 비밀번호, 해킹의 지름길 – 크리덴셜 스터핑이란 무엇인가?

우리는 일상 속에서 다양한 웹사이트나 온라인 서비스에 가입하며 살아갑니다. 이때 하나의 비밀번호를 여러 사이트에 반복해서 사용하는 경우가 많은데요, 편리하다는 이유로 이런 습관을 계속하다 보면, 해커들의 표적이 되는 심각한 보안 위협에 노출될 수 있습니다.

특히 요즘 해커들이 자주 사용하는 수법 중 하나가 바로 크리덴셜 스터핑(Credential Stuffing)입니다. 이 공격은 이미 유출된 아이디와 비밀번호 정보를 자동화된 방식으로 여러 사이트에 입력해 보는 방식으로, 사용자가 비밀번호를 재사용하고 있을 경우 쉽게 계정에 침투할 수 있습니다.

이번 글에서는 이처럼 실제로 악용되고 있는 크리덴셜 스터핑의 개념과 작동 방식, 실제 피해 사례, 그리고 개인과 기업이 실천할 수 있는 효과적인 대응 방법까지 한눈에 이해할 수 있도록 정리해 드리겠습니다.

728x90

1. 크리덴셜 스터핑(Credential Stuffing)이란?

크리덴셜 스터핑(Credential Stuffing)은 말 그대로 유출된 로그인 정보를 여기저기 쑤셔 넣어보는 해킹 기법입니다.

해커는 이미 다른 사이트에서 유출된 아이디(ID)와 비밀번호 조합을 모아, 이를 자동화된 프로그램을 이용해 여러 웹사이트에 무작위로 입력해 보며 계정에 접속하려고 시도합니다.

이런 공격이 가능한 이유는 많은 사람들이 여러 사이트에 같은 비밀번호를 반복해서 사용하기 때문입니다.

해커 입장에서는 한 번 유출된 정보만 있어도, 수십 개의 다른 서비스 계정에 접근할 수 있는 셈이죠.

쉽게 말해, 하나의 열쇠로 여러 문의 자물쇠를 열어보는 것과 같은 방식입니다.

 

📌크리덴셜 스터핑 공격 흐름:

출처: sk쉴더스

 

📌 크리덴셜 스터핑과 유사 공격과의 차이점

공격기법	특징 및 차이점
크리덴셜 스터핑	Credential Stuffing 과거에 유출된 실제 사용자 계정 정보(아이디/비밀번호)를 수집하여, 여러 사이트에 자동으로 대량 로그인 시도를 하는 방식
무차별 대입 공격	Brute Force Attack 가능한 모든 비밀번호 조합을 무작위로 하나씩 대입해 정답을 찾아내는 방식 (예: aaaaaaa, aaaabaa, abc12345 등)
피싱 / 스피어피싱	Phishing/Spear Phishing 가짜 웹사이트나 이메일 등을 이용해 사용자가 직접 로그인 정보나 인증 코드를 입력하도록 유도하는 사회공학적 공격 방식(스피어피싱은 특정 인물/조직을 표적으로 정함)

 

2. 크리덴셜 스터핑은 어떻게 이루어질까?

크리덴셜 스터핑 공격은 해커가 유출된 계정 정보를 손에 넣고 이를 자동화된 프로그램에 입력하여 대량의 로그인 시도를 실행하는 방식으로 이루어집니다. 그 절차를 자세히 살펴보겠습니다.

 

📌 크리덴셜 공격 절차

🔸1단계. 유출된 ID/비밀번호 확보

해커는 과거에 해킹된 웹사이트에서 유출된 계정 정보(아이디/비밀번호 조합)를 수집합니다.

이 정보는 다크웹에서 거래되거나, 피싱 공격을 통해 직접 수집되기도 합니다.

 

🔸2단계. 자동화 도구를 이용한 대량 로그인 시도

수집된 계정 정보는 ‘Sentry MBA’, ‘OpenBullet’ 같은 자동화 도구에 입력됩니다.

이 도구들은 특정 웹사이트의 로그인 구조를 분석해, 초당 수십 건 이상의 로그인 시도를 자동으로 반복합니다.

 

🔸3단계. 계정 탈취 및 악용

로그인에 성공한 계정이 발견되면, 해커는 이를 악용하여 다양한 범죄를 저지릅니다.

예: 금전 탈취, 개인정보 유출, 게임 계정 도용, 이메일 스팸 발송, 추가 피싱 시도 등

 

📌자주 사용되는 크리덴셜 스터핑 도구

🔸Sentry MBA

설정 파일만 변경하면 다양한 웹사이트에 쉽게 적용할 수 있을 만큼 높은 유연성을 제공하며, 대량 로그인 시도에 최적화된 도구입니다.

🔸OpenBullet

강력한 기능과 다양한 사용자 설정 옵션을 제공해 복잡한 로그인 시나리오도 구현할 수 있습니다.

특히 자동 CAPTCHA 우회 기능이 탑재되어 있어 보안 장치를 우회하는 데 자주 사용됩니다.

🔸SNIPR

비교적 사용자 인터페이스(UI)가 간단하고 직관적이어서, 전문 해커가 아니더라도 초보자도 쉽게 사용할 수 있는 도구입니다.

 

📌봇을 이용한 우회 기술

크리덴셜 스터핑 공격은 단순히 계정 정보를 대입하는 수준을 넘어, 보안 시스템의 탐지를 피하기 위해 다양한 자동화 기술과 우회 전략을 사용합니다.

 

🔸IP 우회 (프록시 / VPN 사용)

너무 많은 로그인 시도가 하나의 IP에서 발생하면 보안 시스템에 의해 차단될 수 있습니다.

이를 피하기 위해 해커는 프록시 서버나 VPN을 이용해 가상의 IP 주소를 계속 바꿔가며 공격을 분산시킵니다.

 

🔸헤더 위조 (실제 사용자처럼 보이기)

웹 요청에 포함되는 정보인 User-Agent, Referer 등의 헤더 값을 조작하여, 마치 일반 사용자가 실제 브라우저로 접속한 것처럼 위

장합니다.

이는 자동화된 봇 활동을 숨기기 위한 대표적인 기법입니다.

🔸로그인 시도 간격 조절 (탐지 우회)

짧은 시간에 너무 많은 로그인 시도가 이루어지면 시스템은 이를 비정상으로 감지할 수 있습니다.

해커는 공격 간 시간 간격을 인위적으로 조절해, 실제 사용자가 수동으로 로그인하는 것처럼 보이도록 만듭니다.

 

3. 피해 사례로 보는 현실 위험성

크리덴셜 스터핑은 단순한 계정 해킹을 넘어, 개인의 금전적 손실과 사생활 침해는 물론, 기업의 명성에도 치명적인 영향을 미칠 수 있습니다. 다음은 국내외 주요 피해 사례들입니다.

 

🔸연예인 스마트폰 해킹

최근 일부 연예인들의 스마트폰에서 사진, 연락처 등 민감한 개인 정보가 유출된 사건이 발생했습니다.

피해자는 클라우드 계정을 통해 저장된 정보를 해킹당한 것으로 알려졌습니다.

해커는 외부에서 유출된 이메일 주소와 비밀번호 조합을 확보한 뒤, 이를 해당 연예인의 클라우드 서비스 계정에 자동으로 대입

해 로그인에 성공한 것으로 보입니다.

 

🔸커피 프랜차이즈 충전금 탈취

한 커피 프랜차이즈 앱에서 고객들이 충전해 둔 금액이 무단 인출되거나 다른 계정으로 이체되는 피해가 발생했습니다.

해커는 유출된 고객 계정 정보를 자동화 도구에 입력하여 앱에 로그인했고, 로그인에 성공한 계정에서 충전 잔액을 다른 계정으로 이동시키는 방식으로 금전을 탈취했습니다

 

🔸대형마트 회원 계정 이상 접속

한 대형마트에서 단 하나의 카드 번호가 약 4만 9천여 개의 고객 ID에 연동되어 있다는 이상 징후가 발견되었습니다.

카드사 측이 의심을 제기하면서 내부 조사가 시작되었습니다.

해커는 외부에서 유출된 다수의 계정 정보(ID/비밀번호)를 자동화 방식으로 로그인 시도했으며, 일부 계정에 접근에 성공한 것으로 확인됐습니다.

동일 카드 번호가 다수 계정에 등록되어 있었고, 이 패턴이 공격의 흔적으로 식별되었습니다.

 

📌 피해가 커지는 이유

🔸비밀번호 재사용의 확산

많은 사용자가 편의를 위해 하나의 강력한 비밀번호를 이메일, 소셜 미디어, 금융 서비스 등 여러 사이트에 반복해서 사용하는 경우가 많습니다.

이로 인해 단 하나의 계정 정보만 유출되더라도, 연쇄적으로 여러 사이트의 계정이 함께 뚫릴 위험이 생깁니다.

즉, 하나의 열쇠로 여러 자물쇠를 여는 셈입니다.

🔸탐지의 어려움

크리덴셜 스터핑 공격은 IP 우회, 로그인 시도 간격 조절, 헤더 위조 등 정교한 자동화 기법을 활용해 실행됩니다.

이러한 방식은 공격 트래픽을 실제 사용자 접속처럼 위장하기 때문에, 일반적인 보안 필터나 규칙 기반 시스템으로는 탐지하고 차단하기 매우 어렵습니다.

기업 입장에서는 위협을 눈치채기까지 시간이 지연되는 경우가 많아, 그만큼 피해 규모도 커질 수 있습니다.

 

4. 크리덴셜 스터핑 예방법

크리덴셜 스터핑 공격은 대부분 ‘비밀번호 재사용’이라는 습관에서 비롯됩니다.
하나의 비밀번호를 여러 사이트에 반복해서 사용하는 것은 편리할 수 있지만, 단 한 곳에서 정보가 유출되면 다른 계정들까지 연쇄적으로 뚫릴 수 있는 심각한 위험을 초래합니다.

이러한 공격을 예방하기 위해 개인이 반드시 실천해야 할 보안 수칙들을 아래와 같이 정리할 수 있습니다.

첫째, 비밀번호는 절대 재사용하지 말아야 합니다.
가장 기본적이고도 중요한 원칙은 각 웹사이트나 서비스마다 서로 다른 비밀번호를 설정하는 것입니다.

 

💡 규칙 예: 사이트 앞글자(또는 일부) + 좋아하는 단어 + 생일 일부 + 특수문자

사이트	비밀번호 예시	구성 설명
네이버 (Naver)	Ncoffee93!	N(네이버) + coffee(커피 좋아함) + 93(1993년생) + !
다음 (Daum)	Dmusic07@	D(다음) + music(음악) + 07(7월생) + @
구글 (Google)	Gtravel10#	G(구글) + travel(여행 좋아함) + 10(생일 10일) + #

하나의 사이트에서 유출된 정보로 인해 다른 계정까지 탈취당하는 사태를 막기 위한 가장 효과적인 방법입니다.

 

셋째, 2단계 인증(2FA)을 반드시 활성화해야 합니다.

2단계 인증은 로그인 시 아이디와 비밀번호 외에 추가 인증 수단을 요구하여 보안을 강화하는 방식입니다.

예를 들어, 문자 메시지로 전송되는 인증 코드, Google Authenticator 같은 인증 앱, 또는 YubiKey와 같은 물리적 보안키를 사용할 수 있습니다.

이러한 방식을 통해 설령 비밀번호가 유출되더라도 해커가 계정에 실제로 접근하는 것을 효과적으로 막을 수 있습니다.

마지막으로, 비밀번호는 정기적으로 점검하고 필요한 경우 변경하는 습관을 들여야 합니다.

모든 계정의 비밀번호를 자주 바꾸는 것이 현실적으로 어렵다면, 적어도 이메일, 금융 서비스, 쇼핑몰, 소셜 미디어 등 주요 서비스의 비밀번호는 주기적으로 변경하는 것이 바람직합니다.

 

---

"본 글은 과거 cericube-it(티스토리)에서 발행했던 콘텐츠를 기반으로, 새롭게 정리한 업데이트 버전입니다."