크리덴셜 하이재킹(Credential Hijacking)

개요

크리덴셜 하이재킹(Credential Hijacking)은 공격자가 타인의 인증 정보(아이디, 비밀번호, 세션 토큰, API 키 등)를 탈취해 불법적으로 시스템이나 서비스에 접근하는 침해 행위입니다. 이 공격은 사용자 계정 탈취를 통해 기업 내부망 침입, 데이터 유출, 권한 상승 등 2차 피해를 유발하는 사이버 공격의 핵심 수단입니다. 본 글에서는 크리덴셜 하이재킹의 개념, 주요 공격 기법, 피해 사례, 탐지 기술 및 대응 전략을 소개합니다.

---

1. 개념 및 정의

크리덴셜(Credential)은 시스템에서 사용자의 신원을 인증하기 위해 사용하는 정보이며, 하이재킹(Hijacking)은 이를 탈취하거나 가로채어 사용하는 행위입니다. 단순한 비밀번호 탈취를 넘어서, 다양한 인증 요소(세션 쿠키, 토큰, 인증서 등)가 공격 대상이 됩니다.

주요 목적은 다음과 같습니다:

• 인증된 사용자로 위장해 시스템에 접근
• 계정 탈취 후 내부망 확산 또는 데이터 유출
• 피싱, 랜섬웨어, 권한상승 등 2차 공격 수행

---

2. 주요 공격 기법

공격 기법	설명	사례/영향
피싱(Phishing)	가짜 로그인 페이지나 이메일로 사용자 입력 유도	이메일·메신저 기반 스피어피싱
키로깅(Keylogging)	악성코드 또는 스파이웨어로 키보드 입력 감청	금융정보, 로그인 정보 탈취
세션 하이재킹	세션 토큰을 가로채어 인증 상태를 탈취	웹 애플리케이션 세션 쿠키 가로채기
크리덴셜 스터핑(Credential Stuffing)	유출된 계정 정보를 자동화 도구로 재사용	대규모 계정 탈취, OTP 우회 시도
브루트 포싱	패스워드 조합을 무작위로 대입하여 로그인 시도	인증 제한 없는 시스템 대상
악성 브라우저 확장	브라우저 확장 기능을 이용해 로그인 정보 추적	이메일, 소셜미디어 계정 탈취

---

3. 피해 사례

• Uber(2022): 소셜 엔지니어링으로 직원 VPN 계정 탈취 → 내부 시스템 접근 및 Slack 탈취
• Dropbox(2022): 개발자 대상 피싱을 통해 GitHub 크리덴셜 유출 → 코드 접근 발생
• LastPass(2022): 개발 환경의 AWS 키 탈취로 사용자 Vault 정보 일부 노출
• Naver/Daum 계정 해킹 시도: 유출된 글로벌 계정 DB를 활용한 대량 크리덴셜 스터핑 공격

---

4. 탐지 및 대응 기술

탐지 기술/대응 도구	설명
UEBA(User Entity Behavior Analytics)	비정상적인 로그인 행동을 머신러닝 기반으로 탐지
MFA(Multi-Factor Authentication)	추가 인증 수단 도입으로 크리덴셜만 탈취된 경우 접근 방지
시그니처 기반 탐지 IDS/IPS	계정 탈취에 사용되는 악성코드, 봇넷, 툴의 패턴 탐지
인증 시도 모니터링 시스템	과도한 로그인 시도, 지역 간 이동 로그인 탐지
Dark Web 모니터링	유출된 계정정보가 다크웹에 등록되었는지 지속 감시
자동화 방어 시스템	크리덴셜 스터핑 방어용 rate limit, CAPTCHA, IP 차단 적용

---

5. 대응 전략

전략 항목	실행 방안
계정 보호 강화	MFA 적용, 정기적인 패스워드 변경 정책
사용자 교육	피싱 메일 식별, 가짜 로그인 페이지 경계 훈련
접근 제어 정책 적용	관리자 계정의 IP 화이트리스트, 시간 기반 접근 제한 등
로그 모니터링	로그인 실패 로그, 세션 이상 활동 로그 집중 분석
위협 인텔리전스 연동	크리덴셜 유출 여부를 API로 연동하여 실시간 탐지

---

6. 결론

크리덴셜 하이재킹은 사용자 계정을 공격의 출발점으로 삼아 시스템 전체에 악영향을 미치는 고위험 위협입니다. 비밀번호 하나의 유출이 전체 조직 보안의 무너짐으로 이어질 수 있기에, 기업은 기술적 방어와 더불어 사용자 인식 강화, 인증 정책 고도화, 행위 기반 탐지 기술을 병행 적용해야 합니다. 크리덴셜 보안은 단순한 로그인 보안이 아닌 조직 전체 보안의 핵심 축입니다.