시큐센, ‘다이나패스’로 크리덴셜 스터핑 공격 원천 대응

[아이티데일리] 아이티센그룹 계열사 시큐센은 자사가 공급 중인 안티 스크래핑(Anti-Scraping) 솔루션 ‘다이나패스(DynaPath)’로 최근 발생하는 개인정보 유출 사태에 대응할 수 있다고 6일 밝혔다.

최근 잇달아 보고된 기업들의 개인정보 유출 사고에는 ‘크리덴셜 스터핑(Credential Stuffing)’이 쓰인 것으로 파악된다. 이는 해커가 다크 웹(Dark Web) 등에서 입수한 개인정보를 비롯한 기밀정보(Credential)를 웹 사이트에 무작위로 대입(Stuffing)하며 로그인을 시도하고, 성공 시 정보를 탈취하는 기법이다.

시큐센 관계자는 “크리덴셜 스터핑은 OWASP(The Open Web Application Security Project)에서 위협으로 지목했을 정도로 치명적인 공격 기법”이라며 “현재 웹 기반 서비스가 주를 이루는 만큼 크리덴셜 스터핑을 악용한 개인정보 유출 사고가 점점 늘어나고 있다”고 설명했다.

이에 시큐센에서는 스크립터스의 ‘다이나패스’를 크리덴셜 스터핑에 관한 대응 방안으로 제시한다. 다이나패스는 데이터를 자동 추출하는 ‘스크래핑(Scraping)’에 특화된 기능으로 해커의 무작위 대입 과정을 기술적으로 막을 수 있다.

다이나패스는 봇(Bot)과 일반 사용자를 구분해 스크래핑 시도 자체를 탐지 및 차단하며, 이를 우회하기 위해 브라우저 자동화 툴을 활용한 공격이나 로보틱 프로세스 자동화(RPA)를 활용한 방식도 차단한다. 상황 전반을 모니터링하고 정상 스크래핑은 허용하기에 일반 이용자들의 불편은 최소화할 수 있다.

현재 다이나패스는 국내 A청, B공단, C공단 등에서 구축해 운영 중이다.

시큐센 관계자는 “다이나패스는 스크래핑으로 인해 무분별하게 발생하는 트래픽을 차단하고, 스크래핑 시도에 대한 이력을 관리한다”며 “크리덴셜 스터핑과 같은 해킹 공격에도 효과적”이라고 강조했다.