MITRE T1110.004 크리덴셜 스터핑 분석. Chimera APT의 반도체 산업 침투, 워크넷 4,500만 회 로그인 시도, KT알파 상품권 무단결제 등 한국 5건의 실제 사례와 Atomic Red Team 테스트, 탐지 전략을 다룬다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2023년 7월, 고용노동부 취업포털 워크넷에 해외 IP 28개가 동시에 접속했다. 초당 최대 166회, 7일간 총 4,500만 회의 로그인 시도. 공격자는 새로운 취약점을 찾지 않았다. 다른 곳에서 유출된 비밀번호를 그대로 입력했을 뿐이다.
비밀번호를 해독하는 것보다 이미 유출된 비밀번호를 재사용하는 편이 빠르고 저렴하다. MITRE ATT&CK T1110.004로 분류되는 크리덴셜 스터핑은 Brute Force(T1110)의 하위 기법이지만, 무작위 대입과는 근본적으로 다르다.
무작위 대입(Brute Force)은 한 계정에 수천 개의 비밀번호를 시도한다. 크리덴셜 스터핑은 이미 검증된 이메일:비밀번호 쌍을 수만 개 계정에 각각 12회만 시도한다. 계정 잠금 정책을 우회하면서도 12%의 적중률을 기대할 수 있는 이유는 비밀번호 재사용 습관 때문이다. Verizon 2025 DBIR에 따르면 사용자가 서비스별로 사용하는 고유 비밀번호 비율은 49% 에 불과하다 — 나머지 절반은 다른 서비스와 동일한 비밀번호를 쓴다.
다이어그램
크리덴셜 스터핑을 스크립트 키디의 도구로 치부할 수 없는 이유가 있다.
Chimera(G0114) 는 대만 반도체 산업을 표적으로 한 APT 그룹이다. 이들은 피해 조직의 원격 서비스(VPN, 클라우드)에 유출된 자격증명을 대입해 초기 접근을 확보했다(MITRE ATT&CK 기준). 제로데이 없이, 방화벽 우회 없이, 정상 로그인만으로 내부 네트워크에 진입한 것이다.
TrickBot(S0266) 은 rdpscanDll 모듈을 통해 RDP 서비스에 크리덴셜 스터핑을 수행했다. 봇넷의 분산 인프라를 활용해 수천 개 IP에서 동시에 시도하므로 IP 기반 차단이 무력화된다.
APT가 이 기법을 선택하는 이유는 명확하다. 취약점 연구에 수개월을 투자하지 않아도, 유출된 자격증명 하나로 VPN이나 이메일에 정상 로그인할 수 있다. 방어자 입장에서 이건 침입이 아니라 정상 접속처럼 보인다.
한국은 크리덴셜 스터핑의 반복적 피해국이다.
워크넷(2023년 7월) — 해외 IP 28개에서 초당 73~166회, 총 4,500만 회 로그인 시도. 56만 회 성공, 23만 6,000명의 성명·주소·전화·학력·경력 정보가 유출됐다. 5년간 106억 원의 보안 예산을 집행했지만 CAPTCHA조차 없었다.
한국장학재단(2023년) — 44만 개 IP에서 초당 최대 240회, 총 2,100만 회 시도. 3만 6,000건 성공.
KT알파(2023~2024년) — 9만 8,000개 계정 탈취 후 상품권 무단결제로 금전 피해 발생. 크리덴셜 스터핑이 정보 유출을 넘어 직접적 금전 손실로 이어진 사례다.
GS리테일(2024년 12월~2025년 1월) — 9일간 공격, 9만여 명 개인정보 유출.
티머니(2025년 4월) — 외부 크리덴셜 스터핑으로 개인정보 유출.
크리덴셜 스터핑은 단독으로 존재하지 않는다. 앞단에 자격증명을 수집하는 인포스틸러가, 뒷단에 탈취 계정을 활용하는 후속 공격이 있다.
다이어그램
2025년 기준 인포스틸러가 수집한 자격증명은 18억 개, 감염 기기는 580만 대에 달한다(deepstrike.io, 2025). 이 데이터는 다크웹에서 combolist(이메일:비밀번호 쌍) 형태로 유통된다.
크리덴셜 스터핑의 탐지가 어려운 이유는 정상 로그인과 프로토콜 수준에서 구분이 불가능하기 때문이다. MITRE는 탐지 전략 DET0460에서 단일 IP/세션에서 짧은 시간 내 다수의 서로 다른 사용자명:비밀번호 쌍으로 인증 실패하는 패턴을 핵심 지표로 제시한다(MITRE ATT&CK 기준).
SigmaHQ에 T1110.004 전용 룰은 없지만, 다음 탐지 로직이 유효하다:
Atomic Red Team은 T1110.004에 대해 4개 테스트를 제공한다(격리된 테스트 환경에서만 실행):
credstuffuserpass.txt 파일의 사용자명:비밀번호 쌍으로 SSH 로그인 반복 시도paramiko 모듈을 사용한 자동화 스크립트이 테스트가 탐지 시스템에서 알림을 발생시키는지 확인하면 방어 체계의 유효성을 검증할 수 있다.
MITRE ATT&CK은 두 가지 핵심 완화책을 제시한다:
추가로, 비밀번호 유출 DB 대조(Have I Been Pwned API)와 봇 탐지(CAPTCHA) 적용이 기본적인 방어선이 된다.
크리덴셜 스터핑(T1110.004)은 자격증명 덤핑(T1003)으로 확보한 비밀번호를 활용하는 후속 기법이다. LSASS Memory(T1003.001)나 NTDS(T1003.003)로 내부 해시를 탈취한 뒤, 해당 조직의 클라우드 서비스에 크리덴셜 스터핑을 시도하는 연계 패턴이 관찰된다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.