search

크리덴셜스터핑

Account Takeover, Credential Stuffing

circle-info

크리덴셜 스터핑 탐지

  • 크리덴셜 스터핑 공격은 전체 공격 중 약 80%를 차지합니다.

  • 공격자 정보를 상관 분석하여 탐지 및 차단:

    • 요청 헤더 정보와 본문의 ID 값

    • 서버 응답 상태 값 및 응답 크기

  • PLURA의 세계 특허 기술 적용

크리덴셜 스터핑 필터는 유출된 계정정보를 대량 자동 시도하는 공격을 식별·관리하기 위한 웹방화벽의 전용 필터입니다.

임계치(Threshold)·세션행위(Session-pattern)·브루트포스 성격의 탐지·차단 동작을 필터 단위로 등록하여 탐지 결과를 목록에서 모니터링하고, 필요 시 차단 및 로그 연계를 통해 심층 분석합니다

hashtag
1. 정보 입력

  • 유형

    • 필터 동작으로 차단(탐지 시 동시 차단) 또는 단순 탐지(로그만 수집) 선택이 가능합니다.

  • 분류

    • 고정, 가변 중 선택

  • 필터명, 도메인, 경로, 메소드, 로그인 속성, 시간대, 동작, 로그인 성공/실패, 상태값, 응답 크기

    • 도메인/경로: 적용 대상 도메인 및 URI(정규식 허용) 지정

    • 메소드: POST, GET 중 선택

    • 로그인 속성: name 입력

    • 응답 크기: 상태값과 함께 응답 크기 조건 표기

hashtag
2. 탐지 조건 설정

  • 시도 횟수, 조건, 사용 ID 수

    • 시도 횟수: 설정한 값에 도달 시 탐지 발생

hashtag
운영 권장사항

  • 초기 운영 시엔 탐지 모드(로그 수집) 로 충분히 관측한 뒤, 오탐이 낮게 확인되면 차단 규칙을 순차 적용하세요. 차단은 서비스 영향도가 있으므로 점진적 적용 권장입니다.

  • 상관분석(웹로그 ↔ 시스로그) 저장쿼리·템플릿을 함께 준비하면, 탐지 시 연계 조사 속도가 빨라집니다.

hashtag
참고 사이트

▶ 크리덴셜 스터핑이란?

https://owasp.org/www-community/attacks/Credential_stuffingarrow-up-right

크리덴셜 스터핑 필터는지속적인 로그인 시도를 통해 계정 탈취를 시도하는 공격을 탐지하는 보안 필터입니다.

▶ 볼륨 메트릭이란?

https://www.a10networks.com/blog/understanding-ddos-attacks/arrow-up-right

볼륨 메트릭 필터는 대량의 무차별 대입 공격을 탐지하는 필터로, 계정 탈취 방어에 사용됩니다.

Previous보안Next브루트포스

Last updated