search

크리덴셜 스터핑

Account Takeover, Credential Stuffing

circle-info

크리덴셜 스터핑은 유출된 아이디/비밀번호 조합(크리덴셜)을 대량으로 자동 시도하여 성공적인 로그인 정보를 획득하려는 공격입니다.

PLURA는 웹방화벽 로그를 기반으로 비정상적 로그인 시도 패턴을 탐지하고, 탐지된 사건을 별도 목록으로 관리하여 보안 담당자가 빠르게 인지·대응할 수 있도록 지원합니다.

hashtag
1. 탐지 유형

  • 임계치 탐지(Threshold)

    • 단기간에 동일 IP 또는 동일 대상(도메인/경로)에 대해 허용치를 초과하는 로그인 시도가 감지되면 임계치 기반 탐지로 분류하여 경보를 생성합니다.

  • 세션행위 탐지(Session-pattern)

    • 사용자의 정상 행위 패턴(예: 정상 로그인 시간대, 정상 IP군 등)과 다른 패턴을 탐지하여 의심 세션 행위를 식별합니다.

    • 세션 패턴 비교·분석이 가능하도록 설계 → "플래티넘" 라이선스 이상 이용 가능

hashtag
2. 연계 기능

  • 전체로그 연동: 탐지와 연관된 호스트·도메인·경로 기준으로 전체로그를 자동 검색하여 동일 시점의 다른 이벤트와 연계 분석이 가능합니다.

hashtag
3. 예외 및 운영 정책

  • 예외 목록: 정상화된 IP(화이트리스트)나 신뢰된 사용자 목록을 예외로 등록하면 탐지 시 예외 처리됩니다(관리 > 목록에서 설정).

  • 알림 설정: 개인알림에서 ‘크리덴셜 스터핑(임계치/세션행위)’ 유형을 켜면 메일·Syslog 등으로 탐지 알림을 수신할 수 있습니다.

hashtag
참고 사이트

  1. [QnA] 크리덴셜 스터핑 공격 대응하기 with ChatGPT : https://blog.plura.io/ko/respond/credential-stuffing-countermeasures/arrow-up-right

  2. 크리덴셜 스터핑 : https://blog.plura.io/ko/respond/credential_stuffing/arrow-up-right

Previous보안탐지Next브루트포스

Last updated