워시타워렌탈단순하지만 강력'…크리덴셜 스터핑에 계속 뚫리는 보안연말·연초 사이버 공격이 잇따르면서 개인정보 유출 사고가 빈번하게 일어나고 있다. 특히 해커가 즐겨 쓰는 '크리덴셜 스터핑(Credential Stuffing)' 공격방식이 잊을 만하면 등장함에 따라 각별한 주의와 대응책 마련이 요구된다. 삼성건조기렌탈GS리테일은 지난달 27일부터 지난 4일까지 홈페이지가 해커의 공격을 받아 9만여명의 고객 개인정보가 탈취됐다고 밝혔다. 이번 공격으로 고객의 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목의 개인정보가 유출된 것으로 추정된다. GS리테일은 해킹을 시도하는 인터넷프로토콜(IP)을 차단하고 로그인할 수 없도록 잠금 처리했으며, 개인정보가 표시된 페이지를 확인할 수 없도록 임시 폐쇄했다고 설명했다. lg건조기렌탈GS리테일은 해커 공격방식으로 크리덴셜 스터핑을 지목했다. 크리덴셜 스터핑은 공격자가 사용자 계정·비밀번호 등을 사전에 취득한 후, 사용자가 이용할 만한 사이트에 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입(Stuffing) 공격 방식을 말한다. 크리덴셜 스터핑은 매우 단순한 반복형 공격 방식이지만 효과적이어서 해커의 단골 수법으로 통한다. 실제 개인정보 유출 사고를 조사한 결과, 크리덴셜 스터핑 수법을 사용한 것으로 드러나기도 했다. 건조기렌탈지난해 개인정보보호위원회의 처분한 개인정보 유출사고를 살펴보면, '대성마이맥' 운영사 디지털대성은 크리덴셜 스터핑과 홈페이지 게시판에 대한 '크로스사이트 스크립팅(XSS)' 공격으로 회원 9만5000여명의 개인정보가 유출됐다.