최근 각종 커머스 웹사이트를 대상으로 한 크레덴셜 스터핑(Credential Stuffing) 공격 시도가 지속적으로 포착되고 있는 가운데, 에버스핀(대표 하영빈)의 에버세이프가 이를 실시간으로 탐지·차단하며 효과적인 선제 대응을 이어가고 있다.
크레덴셜 스터핑은 사용자가 여러 웹사이트에서 동일한 ID와 비밀번호 조합을 사용하는 점을 악용해, 유출된 정보를 자동화된 방식으로 무차별 대입해 로그인 시도를 반복하는 방식의 사이버 공격이다.
특히 대형 온라인 플랫폼의 경우, 인증 시스템을 우회하거나 정상 세션으로 위장하는 고도화된 시도가 동반되어 탐지 자체가 어려운 것이 특징이다.
교보문고는 이러한 위협에 대응하기 위해 웹 보안 전용 솔루션 에버세이프를 적용, ▲비정상 로그인 시도 행위 탐지 ▲응답값 위조 여부 분석 ▲개발자 도구 접근 차단 등 다양한 기능을 통합 운영 중이다.
에버스핀에 따르면, 최근 자동화 브라우저를 활용해 대형 커머스 웹사이트를 노린 크레덴셜스터핑 공격이 다수 관측되고 있다. 에버세이프는 이처럼 시간차, 접속환경, 세션의 미세한 패턴차이 등 다양한 환경에서의 변화를 감지해 정상 사용자와 비정상 세션을 실시간 분류하고 있다.
이렇듯 교보문고는 크레덴셜스터핑을 효과적으로 차단함으로써 사용자의 개인정보보호에도 각고의 노력을 쏟고 있다. 또한 웹사이트 로그인은 물론, 전반적인 계정 기반 서비스 보호를 위해 에버세이프를 지속적으로 확대 적용 중이다.
에버스핀 관계자는 “교보문고와 같은 대형 커머스 플랫폼은 고객 데이터가 집중된 만큼 자격 증명 탈취를 목적으로 한 공격에 상시 노출돼 있다”며, “에버세이프는 프론트단에서 발생하는 다양한 공격 벡터를 자동 감지하고 차단해주는 역할을 수행한다”고 밝혔다.
에버세이프는 교보문고를 비롯, ▲NH농협은행 ▲SBI저축은행 ▲삼성카드 ▲우리카드 ▲한국투자증권 ▲KB증권 ▲메리츠증권 ▲저축은행중앙회 등 다수의 금융권에서 운용중인 1위 솔루션이다.
