G마켓서 무단 결제 시도…크리덴셜 스터핑 '도미노 탈취' 경보

(서울=뉴스1) 김민수 기자 = G마켓에서 무단 결제 시도가 확인되면서 크리덴셜 스터핑(Credential Stuffing)에 따른 온라인 서비스 전반의 계정 연쇄침해 위험이 빠르게 부각되고 있다.

3일 업계에 따르면 크리덴셜 스터핑은 공격자가 특정 서버를 직접 해킹하는 방식이 아니라 이미 확보한 이메일·아이디·비밀번호 조합을 다양한 서비스에 무작위 대입해 로그인을 시도하는 기법이다.

최근 수년간 통신·금융·포털·이커머스 등에서 잇따른 대규모 정보 유출로 공격자가 확보한 데이터 세트가 기하급수적으로 누적된 것이 배경으로 지목된다.

개인정보보호위원회와 한국인터넷진흥원(KISA)이 3월 발표한 '2024년 개인정보 유출 신고 동향'에서도 이러한 흐름이 확인된다. 관리자 페이지 비정상 접속, SQL 인젝션, 악성코드에 이어 크리덴셜 스터핑이 네 번째로 많은 유출 신고 유형으로 집계되며 위협이 확산하고 있다.

온라인 이용 환경 변화도 공격의 성공률을 높이는 요인으로 꼽힌다. 이메일·SNS·쇼핑·게임 등 여러 서비스에서 동일한 비밀번호를 재사용하는 경향이 강한 데다, 카카오·네이버 계정 기반의 연계 로그인 서비스가 광범위하게 자리 잡으면서 단일 계정이 뚫릴 경우 피해가 연쇄적으로 확산할 위험이 크다.

전화번호·주소·구매 이력 등 공통식별 정보가 과거 유출 사고에서 이미 다수 노출된 점도 문제다. 공격자가 비밀번호만 일치시켜도 추가 인증 절차를 우회하거나 보조 정보를 맞춰 계정 통제권을 확보하기 쉬워졌다는 분석이 제기된다.

전문가들은 이 같은 공격을 기술적으로 완전히 차단하기는 어렵지만, 이용자 보안 습관만으로도 위험을 크게 줄일 수 있다고 조언한다.

황석진 동국대 국제정보보호대학원 교수는 특히 '비밀번호 변경'이 중요하다고 강조했다. 일반적인 사용자들은 편의상 여러 웹사이트에서 동일한 아이디와 비밀번호를 쓰고 있기 때문에 크리덴셜 스터핑 공격에 취약할 수밖에 없기 때문이다.

보안 관련 기관들도 2단계 인증(OTP·문자 인증) 활성화, 장기간 사용하지 않은 플랫폼 비밀번호 점검, 주요 포털의 로그인 알림 설정 등을 권고하고 있다. 이러한 기본 조치만으로도 계정 탈취 및 연쇄침해 가능성을 크게 낮출 수 있다는 설명이다.

kxmxs4104@news1.kr