커머스·유통 앱을 노리는 크리덴셜 스터핑, 서버 방어만으로는 부족한 이유

지난해 국내 대형 유통·커머스 플랫폼 여러 곳에서 대규모 로그인 기반 해킹 사건이 연달아 발생했습니다. 공격 방식은 단순했습니다. 다른 경로에서 이미 유출된 아이디와 비밀번호를 자동화 도구로 대량 대입해 로그인을 시도하는 이른바 크리덴셜 스터핑(Credential Stuffing) 공격이었습니다.

피해 규모는 작지 않았습니다. 한 사건에서는 6만여 개의 IP에서 로그인 시도가 이루어졌고, 그 중 4,900여 건이 실제 로그인에 성공했습니다. 노출된 정보에는 이름, 연락처, 주소, 프로필 정보가 포함됐습니다. 또 다른 사건에서는 약 158만 건에 달하는 개인정보 유출 정황이 확인됐습니다.

이 사건들이 주목받은 건 피해 규모 때문만이 아닙니다. 특별히 정교한 해킹 기술이 쓰인 것도 아니었고, 보안에 투자를 많이 한 대형 플랫폼들이었음에도 뚫렸다는 점입니다. 그리고 지금도 같은 방식의 공격은 계속되고 있습니다.

크리덴셜 스터핑은 한 번 성공한 공격법이 반복적으로 재활용되는 특성을 가지고 있습니다. 다크웹에 유출 계정 정보가 쌓일수록 공격의 원재료는 늘어나고, 자동화 도구는 점점 정교해집니다. 

크리덴셜 스터핑이란?

크리덴셜 스터핑은 공격자가 다크웹 등에서 수집한 유출 계정 정보(아이디·비밀번호 조합)를 자동화 도구로 여러 서비스에 대량 대입해 로그인을 시도하는 공격입니다. 많은 사용자들이 여러 서비스에 동일한 비밀번호를 재사용하기 때문에, A 서비스에서 유출된 계정 정보가 B 서비스 로그인에도 성공하는 경우가 발생합니다. 이것이 크리덴셜 스터핑의 핵심 원리입니다.

크리덴셜 스터핑 공격 흐름

1. 다크웹 등에서 유출 계정 목록 수집
2. 자동화 봇(봇넷)으로 대량 로그인 시도
3. 성공한 계정에서 개인정보·포인트·결제수단 탈취
4. 수집한 정보를 다시 다크웹에서 거래하거나 2차 공격에 활용

OWASP Mobile Top 10에서도 크리덴셜 스터핑은 “안전하지 않은 인증·권한 부여” 항목의 핵심 공격 유형으로 분류되고 있습니다. 특정 업종만의 문제가 아닌 로그인 기능이 있는 모든 모바일 앱이 잠재적 타깃입니다.

왜 커머스·유통·O2O 앱이 집중 타깃인가?

크리덴셜 스터핑 공격자들이 커머스·유통·O2O 앱을 선호하는 이유는 명확합니다. 계정 하나를 탈취했을 때 얻을 수 있는 것이 많기 때문입니다.

• 포인트·쿠폰의 현금화 가능성: 대형 커머스 앱의 계정에는 멤버십 포인트, 쿠폰, 적립금이 쌓여 있습니다. 공격자는 탈취한 계정의 포인트를 현금처럼 전환하거나, 상품을 구매해 되파는 방식으로 수익을 얻습니다.
• 등록된 결제수단 악용: 앱에 카드 정보나 간편결제 수단이 등록되어 있다면, 계정 탈취만으로 직접적인 금전 피해로 이어질 수 있습니다.
• 개인정보의 높은 거래 가치: 이름, 연락처, 주소, 구매 이력이 담긴 커머스 계정 정보는 다크웹에서 단순 로그인 정보보다 훨씬 높은 가격에 거래됩니다. 2차 스미싱·보이스피싱에도 활용됩니다.
• 비밀번호 재사용 비율이 높은 사용자층: 커머스 앱은 접근성을 높이기 위해 소셜 로그인이나 간편 로그인을 제공하는 경우가 많습니다. 또한 편의를 위해 다른 사이트에 같은 비밀번호를 사용하는 경향을 보입니다.

기존 서버 방어가 한계에 부딪히는 이유

크리덴셜 스터핑을 막기 위한 가장 일반적인 대응은 서버 측에서 이루어집니다. 로그인 실패 횟수 제한, 특정 IP 차단, CAPTCHA 적용 등이 대표적입니다. 이런 방어는 분명 효과가 있습니다. 하지만 최근 국내 대형 플랫폼 사례들이 보여주듯 서버 방어만으로는 충분하지 않습니다. 이유는 크리덴셜 스터핑 공격의 진화 방식에 있습니다.

분산 IP로 속도 제한 우회

초기 크리덴셜 스터핑은 소수의 IP에서 빠르게 로그인을 시도하는 방식이라 IP 차단이 효과적이었습니다. 하지만 현재는 수만 개의 IP를 활용한 분산 공격이 일반화됐습니다. 실제 국내 사건에서 6만여 개의 IP가 동원된 것도 이 때문입니다. IP 차단은 이미 게임이 끝난 뒤에야 작동합니다.

정상 로그인과 구별하기 어려운 요청

서버는 요청이 정상적인 사용자에게서 왔는지 자동화 봇에서 왔는지 구별하기 어렵습니다. 공격자들은 브라우저 환경을 모사하거나 인간적인 행동 패턴을 흉내 내도록 봇을 정교화하고 있습니다. 특히 AI 기반 공격 도구가 확산되면서 봇의 정교함은 빠르게 높아지고 있습니다. 하지만 서버 로그에는 단순히”로그인 성공으로 기록될 뿐입니다.

앱 클라이언트를 직접 조작하는 공격

모바일 환경에서 크리덴셜 스터핑은 한 단계 더 진화했습니다. 공격자는 앱 자체를 역공학(리버스 엔지니어링)으로 분석해 로그인 API의 구조를 파악한 후 앱을 거치지 않고 API를 직접 호출하거나 앱을 변조해 보안 로직을 우회합니다. 이 경우 서버는 정상적인 앱에서 온 요청으로 인식합니다.

앱 레이어에서 크리덴셜 스터핑을 막아야 하는 이유

서버 방어의 한계를 보완하려면 공격이 실제로 발생하는 지점, 즉 앱 클라이언트 레이어에서의 방어가 필요합니다.

앱 위변조 탐지(Anti-Tampering)

크리덴셜 스터핑 봇은 앱의 코드를 분석·변조해 보안 로직을 무력화하는 경우가 많습니다. 앱 위변조 탐지 기술은 앱의 무결성을 실시간으로 확인하고 변조된 앱에서의 실행을 차단합니다. 봇이 앱을 조작해 로그인 제한을 우회하려 해도 변조 시점에 이미 탐지·차단됩니다.

루팅·탈옥 기기 탐지(Rooting/Jailbreak Detection)

크리덴셜 스터핑 자동화 도구는 루팅되거나 탈옥된 기기 환경에서 동작하는 경우가 많습니다. 루팅된 기기는 앱의 보안 제어를 우회하기 쉽기 때문입니다. 루팅·탈옥 탐지는 이런 환경에서의 앱 실행 자체를 제한해 공격의 기반을 차단합니다.

코드 암호화(DEX/코드 난독화)

앱의 코드가 역공학으로 분석되면, 로그인 API 구조와 인증 토큰 처리 방식이 노출됩니다. 공격자는 이를 바탕으로 서버 API를 직접 호출하는 스크립트를 만들 수 있습니다. DEX 암호화와 코드 난독화는 앱의 내부 구조를 분석하기 어렵게 만들어 이 경로를 차단합니다.

런타임 위협 탐지 (RASP)

RASP(Runtime Application Self-Protection)는 앱이 실행되는 순간에도 비정상적인 동작을 실시간으로 감지하고 차단합니다. 자동화 봇이 정상 앱을 통해 반복 로그인을 시도하거나 비정상적인 실행 패턴을 보일 경우 런타임에서 즉시 탐지해 대응할 수 있습니다. 서버가 로그인 성공을 처리하기 전에 앱 레이어에서 먼저 막는 것입니다.

커머스·유통 앱을 위한 크리덴셜 스터핑 대응 체크리스트

아래 항목을 통해 현재 운영 중인 앱의 크리덴셜 스터핑 대응 수준을 점검해 보세요.

크리덴셜 스터핑 대응, 지금 점검해야 하는 이유

국내 대형 플랫폼을 대상으로 한 크리덴셜 스터핑 사례들은 이미 업계 전반에 경종을 울렸습니다. 그러나 보안 사고 이후 시간이 지나면 경각심은 자연히 낮아집니다. 공격자들은 바로 그 타이밍을 노립니다.

크리덴셜 스터핑은 특정 규모나 업종을 가리지 않습니다. 특히 사용자 수가 많고 계정 내 보유 자산(포인트, 결제수단, 개인정보)이 풍부한 커머스·유통·O2O 앱일수록 공격자의 우선 타깃이 됩니다. 그리고 공격은 이미 정상 로그인처럼 보이는 방식으로 진행되기 때문에 피해가 커진 후에야 인지되는 경우가 대부분입니다.

서버 방어와 MFA 적용은 기본입니다. 하지만 앱 클라이언트 레이어, 즉 공격이 시작되는 지점에서의 방어가 함께 갖춰져야 크리덴셜 스터핑을 실질적으로 막을 수 있습니다. 보안 사고는 발생한 뒤에 대응하면 이미 늦습니다. 과징금, 사용자 이탈, 브랜드 신뢰 하락까지 연쇄적으로 따라옵니다. 지금 우리 앱의 로그인 보안 구조를 점검해 볼 적기입니다.

도브러너 모바일 앱 보안은 앱 위변조 탐지, 루팅·탈옥 탐지, DEX 암호화, RASP까지 크리덴셜 스터핑 대응에 필요한 앱 레이어 보안 기능을 통합 제공합니다. 30일 무료 체험을 통해 현재 운영 중인 앱에 직접 적용하고 효과를 확인해 보세요.