로그인
보증업체
스포츠중계
스포츠분석
먹튀사이트
지식/노하우
판매의뢰
업체홍보/구인
뉴스
커뮤니티
포토
포인트
보증카지노
보증토토
보증홀덤
스포츠 중계
기타
축구
야구
농구
배구
하키
미식축구
카지노 먹튀
토토 먹튀
먹튀제보
카지노 노하우
토토 노하우
홀덤 노하우
기타 지식/노하우
유용한 사이트
제작판매
제작의뢰
게임
구인
구직
총판
제작업체홍보
실시간뉴스
스포츠뉴스
연예뉴스
IT뉴스
자유게시판
유머★이슈
동영상
연예인
섹시bj
안구정화
출석하기
포인트 랭킹
포인트 마켓
로그인
자동로그인
회원가입
정보찾기
뉴스
더보기
[연예뉴스]
김광규, 11년 악착같이 모은 돈 공중분해 "전세사기 당해…재판 3년하고 못 돌려받아" ('데이앤나잇')
N
[연예뉴스]
남창희, 드디어 장가간다!…9세 연하 비연예인과 4년 열애 끝 '결실'
N
[연예뉴스]
‘대치동 여신’ 류시원 아내, 육아와 수학 강의로 바쁜 하루
N
[연예뉴스]
'해군출신' 두쫀쿠 창시자 김나리, 신메뉴는 '벨쫀쿠'..월매출 25억원 (전참시)
N
[연예뉴스]
전현무, 주사이모 이어 폭로 또 불거졌다…이번엔 후배들까지 "교육 더 받으라고" ('사당귀')
N
커뮤니티
더보기
[자유게시판]
드디어 금요일이군요
[자유게시판]
오늘 다저스 어떻게 생각하시나요
[자유게시판]
하아 댓노
[자유게시판]
식곤증지립니다요
[자유게시판]
벌써 불금이네요
목록
글쓰기
[IT뉴스]유출 계정·비밀번호 무더기 대입하는 ‘크리덴셜 스터핑’ [보안TMI]
온카뱅크관리자
조회:
4
2026-02-22 06:07:31
<div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">2차 피해 막으려면…사이트마다 비밀번호 달리 써야</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="qMyMgqXSM0"> <p contents-hash="5e612c6bd21f5371771cd81811bd756063ce90f045bf26e0eb9a1f06a30984f2" dmcf-pid="B9m9x1hDR3" dmcf-ptype="general">IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 '보안TMI(Too Much Information)' 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]</p> <div contents-hash="24d38cecb3e189630d52462613fda235055dbdff16b03c2b287f7debcb840db0" dmcf-pid="b2s2MtlwMF" dmcf-ptype="general"> 온라인 플랫폼·서비스 해킹 사고가 반복되면서 "내 계정(ID)·비밀번호도 이미 유출된 것 아닌가" 하는 우려는 일상이 됐다. 문제는 해킹이 한 번의 유출로 끝나지 않는다는 점이다. 유출된 계정·비밀번호가 다른 서비스 침해로 이어지고, 무단 신용카드 결제나 사생활 유출 같은 '2차 피해'로 확산될 수 있다. </div> <figure class="figure_frm origin_fig" contents-hash="80272ef431fce36dcf7f8d66e7adb0e7ea7b039d9bdf8b918f81284f6b068ebb" data-idxno="436958" data-type="photo" dmcf-pid="KVOVRFSret" dmcf-ptype="figure"> <p class="link_figure"><img alt="유출된 계정 정보를 자동 대입해 다수 사이트에 무차별 로그인 시도를 하는 '크리덴셜 스터핑' 공격을 형상화한 이미지. / 챗GPT 생성" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/22/552810-SDi8XcZ/20260222060006608khjr.png" data-org-width="1280" dmcf-mid="zXHJA9tWJp" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/22/552810-SDi8XcZ/20260222060006608khjr.png" width="658"></p> <figcaption class="txt_caption default_figure"> 유출된 계정 정보를 자동 대입해 다수 사이트에 무차별 로그인 시도를 하는 '크리덴셜 스터핑' 공격을 형상화한 이미지. / 챗GPT 생성 </figcaption> </figure> <p contents-hash="1d2aaae64078e22b7fe491c18aefa1c3ee285c69f1900ba991d80bfbdb9e9343" dmcf-pid="9fIfe3vmR1" dmcf-ptype="general">해커들은 유출된 계정·비밀번호를 다른 서비스에 무차별 대입하며 로그인을 시도한다. 이른바 '크리덴셜 스터핑(Credential Stuffing)'이다. 이는 특정 개인의 계정을 노려 비밀번호를 하나씩 추측하는 방식이 아니다. 이미 유출된 수십만~수백만 건의 계정·비밀번호 묶음을 확보한 뒤, 이를 여러 웹사이트 로그인 창에 자동으로 입력하는 방식이다. 프로그램은 초당 수십~수백 건씩 로그인을 시도하고, 그중 실제로 열리는 계정만 추려 추가 침해의 타깃으로 삼는다.</p> <p contents-hash="7b7b06a342c86eca5f6563635415d9376deea627983feaf832c82e0a78c9d689" dmcf-pid="24C4d0TsJ5" dmcf-ptype="general">이를 도난당한 열쇠 꾸러미에 비유할 수 있다. 수만 개의 열쇠를 들고 아파트 단지 전체 세대의 문을 자동으로 대조해보는 식이다. 대부분은 맞지 않지만, 옆 단지 다른 집에서도 같은 열쇠를 쓰고 있는 세대가 있다면 그대로 문이 열린다. 이 단계에서 해커의 관심은 "누구의 계정인가"가 아니라 "얼마나 많이 열리는가"다. 결국 크리덴셜 스터핑의 피해자는 특정 표적이 아니라, 여러 사이트에서 같은 비밀번호를 재사용한 사람들이다.</p> <p contents-hash="2e34d65c4ef4d97cd61193ed855ed267584f98ea8f78b0087ea7258f5485ab8a" dmcf-pid="V8h8JpyOMZ" dmcf-ptype="general">그렇다면 대응법은 단순하다. 사이트마다 비밀번호를 다르게 설정하는 것이다. 다만 현실적으로 수십 개 서비스에 전혀 다른 비밀번호 문자열을 만들어 모두 외우기란 쉽지 않다. 그래서 보안 전문가들은 '자신만의 계산식'을 만드는 방식을 권한다.</p> <p contents-hash="96ef4278860e1cc9ccea82f02e868a46628aa54f3191fb39b76ce2a7e83dac92" dmcf-pid="f6l6iUWIdX" dmcf-ptype="general">예를 들어 기본이 되는 문자열을 하나 정한다. Ra!m72처럼 영문 대소문자·기호·숫자를 섞은 핵심 코드를 만드는 것이다. 그리고 여기에 사이트별 규칙을 덧붙인다. 사이트 이름의 앞 두 글자와 가입 연도의 끝 두 자리를 조합하는 식이다.</p> <p contents-hash="4c38e9f8a49b91b041522492f1b1aa70edfe86a7097f83b94da9ba9af94b743d" dmcf-pid="4PSPnuYCMH" dmcf-ptype="general">이를 적용하면 포털(portal.kr)에는 Ra!m72po24, 쇼핑몰(shopping.kr)에는 Ra!m72sh24, 은행(bank.kr)에는 Ra!m72ba24처럼 서로 다른 비밀번호가 만들어진다. '기본 코드 + 사이트 약어 + 연도'라는 공식이 적용된 구조다. 물론 일정한 패턴이 드러난다는 한계는 있다. 그러나 동일한 비밀번호를 여러 사이트에 그대로 재사용하는 것보다는 보안 수준이 분명히 높다. 공격자가 특정 개인의 여러 계정·비밀번호를 한꺼번에 분석하는 표적형 공격이 아닌 이상, 자동화된 크리덴셜 스터핑은 통하지 않는다. 완벽한 방어책은 아니지만, 크리덴셜 스터핑을 통한 연쇄 침해는 막을 수 있다.</p> <p contents-hash="9f42441c7526ffd35beab39d762b7ceb4879d4f57da2f7623cb9a28626d2d144" dmcf-pid="8QvQL7GhJG" dmcf-ptype="general">또 다른 방법은 '단어 조합 규칙'을 활용하는 것이다. 자신만 아는 세 개의 단어를 정해두고 사이트 성격에 따라 순서를 바꾸거나 특정 위치에 숫자·기호를 추가하는 식이다. 예컨대 BlueTreeRiver를 기본으로 정했다면, 금융 서비스에는 앞에 숫자를 붙여 7BlueTreeRiver!로 쓰고, 쇼핑몰에서는 가운데 단어를 뒤로 보내 BlueRiverTree!3처럼 변형하는 방식이다. 금융 서비스와 사진·클라우드처럼 사생활 정보가 많은 서비스를 서로 다른 규칙으로 관리하면, 한쪽에서 유출이 발생해도 피해 확산을 줄일 수 있다. 핵심은 자신만이 알 수 있는 일관된 규칙을 유지하되, 외부에서는 쉽게 추정하기 어렵게 만드는 것이다.</p> <p contents-hash="ce6616bba68edb306bb68cdc84065b93b71c9ad08ff808a4e6d71e68571c52e1" dmcf-pid="6xTxozHliY" dmcf-ptype="general">이와 별도로 비밀번호를 설정할 때는 생일, 전화번호, 자녀 이름처럼 공개 정보로 유추 가능한 요소는 피하는 것이 좋다. 길이는 12자 이상으로 하고, 가능한 한 무작위성을 높이는 것이 안전하다. 문자나 인증 앱, 생체인증 등을 활용한 2단계 인증을 활성화하면 비밀번호가 노출되더라도 추가 단계에서 차단할 수 있다.</p> <p contents-hash="e03c247e020992da7c3fd77f16b264367cb10fd9ad3c62033d23eadac2ced970" dmcf-pid="PMyMgqXSMW" dmcf-ptype="general">이미 내 계정 정보가 유출됐는지도 확인할 수 있다. 한국인터넷진흥원이 운영하는 '털린 내 정보 찾기' 서비스를 활용하면 된다. 이 서비스는 공개된 유출 데이터베이스와 이용자가 입력한 이메일·아이디·비밀번호 정보를 대조해 유출 이력을 안내한다. 이력이 확인되면 해당 사이트뿐 아니라, 동일하거나 유사한 비밀번호를 사용한 다른 서비스도 함께 변경하는 것이 안전하다.</p> <p contents-hash="c0b5ea049c2c998ac1acda17b603f3916cb006052266f2627670cd8d07a34ee4" dmcf-pid="QRWRaBZvdy" dmcf-ptype="general">대형 플랫폼이 해킹당하는 것을 개인이 막기는 어렵다. 국내외를 막론하고 안전지대는 없다. 그러나 한 번 털린 계정·비밀번호를 그대로 다른 서비스에서 사용해 2차 해킹 피해를 만들 것인지는 이용자의 선택에 달려 있다.</p> <p contents-hash="a395e8264bb5de96e885882a3c417cdaa31b7a9354477828cfeaa36e30179af8" dmcf-pid="xRWRaBZvnT" dmcf-ptype="general">크리덴셜 스터핑은 짧은 시간에 대규모 요청을 반복하기 때문에 기업 차원의 탐지·차단도 중요하다. 하지만 이 공격의 본질은 비밀번호를 반복해서 쓰는 개인의 습관을 노린다는 점에 있다. 오늘부터라도 규칙을 세워 사이트마다 다른 비밀번호를 설정해보는 것은 어떨까. 꾸준히 관리한다면 해커의 '도난 열쇠 꾸러미'는 더 이상 통하지 않게 만들 수 있다.</p> <p contents-hash="03b751f4741d34336cca6f3a06c629fd19079623a361ee545d1d38f9d3b43b8a" dmcf-pid="yYMY3wiPMv" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p>
댓글등록
댓글 총
0
개
맨위로
이번주
포인트
랭킹
매주 일요일 밤 0시에 랭킹을 초기화합니다.
1
4,000
상품권
2
3,000
상품권
3
2,000
상품권
업체홍보/구인
더보기
[구인]
유투브 BJ 구인중이자나!완전 럭키비키자나!
[구인]
에카벳에서 최대 조건으로 부본사 및 회원님들 모집합니다
[구인]
카지노 1번 총판 코드 내립니다.
[구인]
어느날 부본사 총판 파트너 모집합니다.
[구인]
고액전용 카지노 / 헬렌카지노 파트너 개인 팀 단위 모집중 최고우대
지식/노하우
더보기
[카지노 노하우]
혜택 트렌드 변화 위험성 다시 가늠해 보기
[카지노 노하우]
호기심이 부른 화 종목 선택의 중요성
[카지노 노하우]
카지노 블랙잭 카드 조합으로 히트와 스탠드를 결정하는 방법
[카지노 노하우]
흥부가 놀부될때까지 7
[카지노 노하우]
5월 마틴하면서 느낀점
판매의뢰
더보기
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
포토
더보기
채팅하기