[보안_GPT] 크리덴셜 스터핑(Credential Stuffing)이란?

**Credential Stuffing(크리덴셜 스터핑)**은
유출된 계정 정보를 자동화 도구로 여러 서비스에 반복적으로 로그인 시도하는 공격이야.

즉:

👉 다른 사이트에서 털린 ID/비밀번호를 가져다가 자동으로 대입하며 계정을 탈취하는 공격

Brute Force와 비슷해 보이지만, 근본적으로 완전 다른 공격이야.

---

🔥 1. Credential Stuffing이란?

• 공격자는 먼저 다른 웹사이트에서 유출된 이메일/비밀번호 목록을 확보함
  (다크웹, 데이터 침해 사고, 유출 DB 등)
• 그걸 자동화 스크립트/봇으로 여러 서비스(구글, 네이버, 쇼핑몰, 은행 등)에 넣어봄
• 사용자가 같은 비밀번호를 여러 사이트에서 재사용할 경우, 쉽게 계정이 털림

예:

 

공격자가 확보한 유출 정보: email1@gmail.com : qwer1234! email2@naver.com : 123456 → 같은 정보로 다른 사이트에 로그인 시도

---

🔥 2. Brute Force vs Credential Stuffing 차이

구분Brute ForceCredential Stuffing

시도 방식	가능한 모든 비번을 시도	이미 유출된 실제 비번을 사용
성공 확률	낮음	매우 높음
자동화	가능	매우 활발
공격 속도	느릴 수 있음	매우 빠름 (봇/프록시 사용)
방어 난이도	쉬운 편	어려움

---

🔥 3. 공격 시나리오

1️⃣ 다크웹에서 1억 개 유출된 이메일/비밀번호 목록 구매
2️⃣ 자동화 툴 사용 (ex. Sentry MBA, OpenBullet 등)
3️⃣ 여러 웹사이트에 대량 로그인 요청
4️⃣ 일치하는 계정을 찾아내기
5️⃣ 정보 탈취, 결제 악용, 계정 도용

---

🔥 4. Credential Stuffing 발생 시 피해

• 쇼핑몰 → 포인트·적립금 탈취
• 이메일 → 개인 정보, 연락처 등 유출
• 금융 계정 → 결제/송금 악용
• 회사 계정 → 내부 시스템 침입(보안 관제에서도 격상 사건)
• MFA 미사용 기업은 큰 타격

---

🔥 5. 방어 방법

✔ (1) MFA 필수 적용

비밀번호가 노출돼도 계정 보호 가능

✔ (2) 로그인 시도 패턴 분석

• 같은 IP에서 수백 개 계정 로그인 시도
• 여러 국가에서 동시에 같은 계정 접속
• 속도가 비정상적 (봇 패턴)

✔ (3) CAPTCHA 적용

봇 자동화를 큰 폭으로 차단

✔ (4) 비밀번호 재사용 방지 정책

이미 유출된 비밀번호를 사용하지 못하게 막기
(HIBP API 검사 등)

✔ (5) Rate-Limiting (속도 제한)

• 계정별, IP별 제한
• 비정상 폭주 트래픽 차단

✔ (6) WAF/보안관제에서 탐지

• User-Agent 변조
• 여러 IP에서 반복 요청
• 로그인 실패 폭증 알람

---

🎯 한 문장 요약

Credential Stuffing = 다른 사이트에서 유출된 실제 비밀번호를 이용해 자동으로 로그인 시도하는 공격. 비밀번호 재사용이 핵심 원인. MFA와 속도 제한이 가장 효과적인 방어.