무분별한 스크래핑 시도 탐지·차단 통해 크리덴셜 스터핑 공격 원천 대응
[아이뉴스24 윤소진 기자] 아이티센그룹 계열사 시큐센은 자사가 공급 중인 안티 스크래핑 솔루션 ‘다이나패스’로 최근 잇달아 발생하는 개인정보 유출 사태에 대응할 수 있다고 6일 밝혔다.
![‘크리덴셜 스터핑’ 공격이 일어나는 과정 [사진=시큐센]](https://image.inews24.com/v1/baca63c1d2d6ac.jpg)
‘크리덴셜 스터핑’ 공격이 일어나는 과정 [사진=시큐센]해피포인트, 대교에 연이어 GS리테일까지 개인정보 유출사고가 줄줄이 터졌다. 현재까지 파악된 공격 방식은 ‘크리덴셜 스터핑'이다. 해커는 다크웹 등을 통해 입수한 개인정보와 같은 기밀정보를 웹사이트에 무작위로 대입하며 로그인을 시도하고, 성공할 경우 원하는 정보를 탈취한다.
시큐센 관계자는 “크리덴셜 스터핑은 OWASP(The Open Web Application Security Project)에서 위협으로 지목했을 정도로 가시화되고 치명적인 공격 기법”이라며 “현재 웹 기반 서비스가 주를 이루는 만큼 크리덴셜 스터핑을 악용한 개인정보 유출 사고가 점점 늘어나고 있다”고 설명했다.
크리덴셜 스터핑을 막기 위해 2차 인증(MFA)을 사용하는 방법이 있으나 해커뿐만 아니라 일반 이용자에게도 불편함을 초래한다는 단점이 있다. 따라서 이를 개선하기 위해 이용자 측면에서의 보안이 아니라 해커의 무작위 대입 과정에서 기술적으로 대응할 수 있는 방안을 강구할 필요가 있다. 데이터를 자동 추출하는 ‘스크래핑’ 차단 기술이 필요하다.
시큐센이 공급하는 스크립터스사의 ‘다이나패스’는 크리덴셜 스터핑을 활용한 스크래핑 차단에 특화된 기능을 제공한다. 봇과 일반 사용자를 구분해 스크래핑 시도 자체를 탐지 및 차단하며, 이를 우회하기 위해 브라우저 자동화 툴을 활용한 공격이나 로보틱 프로세스 자동화(RPA)를 활용한 방식도 차단한다. 전반적인 상황을 모니터링하고 정상 스크래핑에 대해서는 허용하기에 일반 이용자들의 불편을 야기하지 않는다.
시큐센 관계자는 “’다이나패스’는 스크래핑으로 인해 무분별하게 발생하는 트래픽을 차단하고, 스크래핑 시도에 대한 이력을 관리한다”며 “크리덴셜 스터핑과 같은 해킹 공격에도 매우 효과적”이라고 밝혔다.
/윤소진 기자(sojin@inews24.com)포토뉴스
![유튜브 시청 시간 관리하려면 이렇게! [이럴땐 이렇게!]](https://it.donga.com/media/__sized__/images/2025/3/17/bf86aa7b62e542d2-thumbnail-960x540-70.jpg)
![[민관협력 오픈이노베이션 지원사업] 웝스 “섬유 폐기물 업사이클링 건축 자재로 산업 혁신 이끌 것”](https://it.donga.com/media/__sized__/images/2025/3/17/4cb72e9080ef4975-thumbnail-960x540-70.jpg)
![[사설] ‘우클릭’ 하자마자 ‘좌클릭’ 하면 설명은 해야](https://www.chosun.com/resizer/v2/EH33UHFEX5PLRJ45HMHANPXDEI.JPG?width=4869&height=3250&auth=a432b62e8bbc9a26daa9c5c8e8be8dea0ab32bd088cc96bebbeb65161b079e37&smart=true)
English (US) · 