How do hackers get lists of username and password combinations to use in credential stuffing attacks?

Hackers obtain credential lists primarily from publicly disclosed data breaches—when companies experience security incidents, the stolen data is often shared on dark web forums or sold to other criminals. These breach databases are compiled and organized by username and password, making them valuable commodities in the cybercriminal underground. Additionally, credentials may come from malware-infected devices that logged keystrokes, purchased from other hackers, or scraped from public sources like LinkedIn profiles combined with passwords from previous breaches.

If I use a strong password, am I protected from credential stuffing attacks?

A strong password protects you only if it's unique and not already in a breach database. Credential stuffing attacks don't involve guessing—they use stolen credentials, so password strength is irrelevant if that exact username-password combination was leaked elsewhere. However, if attackers only have your username (without your password), a strong unique password becomes your actual defense. This is why both password uniqueness and strength matter: uniqueness protects against credential stuffing, and strength protects if attackers try brute-force attacks.

How quickly can a credential stuffing attack compromise my account?

Modern credential stuffing attacks can test thousands of stolen credentials per minute using automated tools and distributed servers. If your credentials are in the attacker's database, your account could be compromised within minutes to hours of the attack beginning. Attackers typically scan and organize successful logins in real-time, allowing them to identify valuable accounts immediately. This rapid timeline means you may not discover the compromise until days or weeks later when you notice suspicious account activity or receive fraud alerts.

If my password wasn't in a breach, can I still be affected by credential stuffing?

If your specific password wasn't in a breach, you're protected from credential stuffing—but most people aren't in that position. The reality is that billions of credentials from hundreds of major breaches are actively being used in credential stuffing campaigns right now. Even if you've created a strong unique password, you could still be vulnerable if any of your other accounts were breached, because attackers often test variations and mutations of known passwords. You should assume that some of your credentials are in use somewhere unless you actively monitor breach databases.

What should I do immediately if I discover my account was compromised through credential stuffing?

First, change the password for the compromised account to something completely new and unique, then enable multi-factor authentication if it's not already active. Second, check your account activity history and revoke access to any connected apps, devices, or sessions you don't recognize. Third, change the passwords for any other accounts using the same or similar credentials. Finally, monitor the compromised account and associated email for suspicious activity for the next 30-90 days, watch your credit reports for fraudulent accounts, and contact your bank and credit card companies to flag potential fraud.

높음 평균 피해액: $5,000 일반적 기간: 1-30 days

자격증 채우기 공격: 해커가 당신의 비밀번호를 악용하는 방법

자격증 채우기는 해커가 도난당한 사용자명과 비밀번호 조합을 사용하여 여러 웹사이트 및 서비스에 걸쳐 불법적으로 계정에 접근하는 자동화된 공격입니다. 많은 사람들이 서로 다른 플랫폼에서 동일한 비밀번호를 재사용하기 때문에 이 공격이 작동합니다. 한 회사가 데이터 침해를 당하면 범죄자들은 유출된 자격증을 수집하고 특화된 소프트웨어를 사용하여 수백 개의 다른 사이트에서 동일한 로그인 조합을 빠르게 테스트합니다. 2024년 베라이즌 데이터 침해 조사 보고서에 따르면 자격증 손상이 데이터 침해의 40% 이상에 관여하고 있으며, 이는 가장 일반적인 공격 벡터 중 하나입니다. 단 하나의 자격증 채우기 공격은 몇 시간 내에 수백만 개의 로그인 조합을 테스트할 수 있으며, 성공률은 공격자의 비밀번호 목록 품질에 따라 0.1%에서 2% 사이입니다. 이는 백만 개의 도난당한 자격증 목록에서 공격자가 1,000개에서 20,000개의 계정을 성공적으로 침해할 수 있다는 의미이며, 이러한 계정에는 일반적으로 금융 정보, 개인 데이터 또는 더 민감한 시스템에 대한 접근 권한이 포함되어 있습니다. 자격증 채우기의 위험성은 초기 계정 침해를 넘어 확장됩니다. 공격자가 당신의 이메일 계정에 접근하면 은행, 소셜 미디어, 암호화폐 계정에서 비밀번호 재설정을 요청할 수 있습니다. LinkedIn 자격증을 통해 회사 이메일에 접근하면 기업 스파이 활동이나 랜섬웨어 배포를 위한 발판을 확보하게 됩니다. FBI의 2023년 인터넷 범죄 신고 센터는 자격증 손상과 관련하여 14,000건 이상의 보고를 받았으며, 손실액은 1억 3,700만 달러를 초과합니다. 이 공격은 피해자들이 계정에 부정 청구가 나타나거나 프로필 정보의 무단 변경을 알아차릴 때까지 자신들이 침해당했다는 사실을 깨닫지 못하기 때문에 특히 교활합니다. LinkedIn(7억 개 계정), Yahoo(30억 개 계정), 그리고 수많은 소매점이 겪은 대규모 침해로 인해 범죄자들이 적극적으로 악용하는 거대한 자격증 데이터베이스가 생성되었습니다.

주요 수법 식별 방법 자신을 보호하는 법 실제 사례 신고 채널

주요 수법

• 다크웹 마켓플레이스나 이전 데이터 침해에서 도난당한 자격증 목록을 획득한 후, Sentry MBA 또는 OpenBullet과 같은 자동화된 도구를 사용하여 은행, 이메일 제공자, 소셜 미디어 플랫폼, 전자상거래 사이트의 로그인 포털에 대해 이러한 자격증을 빠르게 테스트합니다.
• 회전하는 프록시 서버와 주거용 IP 주소를 사용하여 요청을 여러 IP 범위에 분산시키고, 일반적으로 단일 소스의 빠른 로그인 시도에 플래그를 지정하는 표준 속도 제한 보안 조치를 우회합니다.
• 포럼 계정이나 소매점과 같이 보호 수준이 낮은 사이트에서 먼저 자격증을 테스트한 후 은행 및 이메일 계정과 같은 고가치 대상을 시도하여 어떤 자격증이 아직 작동하는지 확인한 후 재정적으로 가치 있는 계정을 대상으로 합니다.
• 공격 중에 도난당한 비밀번호의 약간의 변형이나 변경을 구현합니다. 예를 들어 침해 후 사용자가 비밀번호를 약간 변경할 수 있도록 '123' 또는 '!'와 같은 일반적인 접미사를 추가합니다.
• 성공적인 계정 접근을 모니터링하여 어떤 자격증이 가장 가치 있는 정보를 제공하는지 파악한 후, 다크웹에서 확인된 활성 자격증을 판매하거나 계정 탈취 또는 신원 도용과 같은 2차 공격에 사용합니다.
• 사이트 사용이 많지 않은 시간대에 공격을 시간을 정하거나 대량의 동시 로그인 실패로 인해 생성될 보안 경고를 트리거하지 않도록 연장된 기간에 걸쳐 공격을 예약합니다.

식별 방법

당신이 온라인 상태가 아닐 때나 낯선 위치 또는 기기에서 당신의 계정에 누군가가 로그인했거나 로그인 활동이 발생했다는 알림을 받습니다.
당신의 이메일 계정에 당신이 시작하지 않은 비밀번호 재설정 알림이나 계정 복구 시도가 포함되어 있어 누군가가 당신의 계정에 접근하려고 한다는 것을 나타냅니다.
프로필 정보 변경, 무단 구매, 수정된 보안 설정, 또는 당신의 계정에 연결된 낯선 앱 또는 기기와 같은 비정상적인 활동을 알아차립니다.
금융 계정에 무단 거래가 표시되거나, 당신이 강력하고 고유한 비밀번호를 사용하더라도 당신의 은행이 의심스러운 로그인 시도를 알립니다.
당신의 이메일 제공자로부터 의심스러운 활동, 여러 위치에서의 실패한 로그인 시도, 또는 당신이 인식하지 못한 소스에서 비밀번호를 변경하라는 요청에 대한 경고를 받습니다.
당신의 소셜 미디어 계정이 당신의 연락처에 원치 않는 메시지나 친구 요청을 보내는 데 사용되었으며, 이는 누군가가 당신의 로그인 자격증을 통제하고 있다는 신호입니다.

자신을 보호하는 법

Bitwarden, 1Password, 또는 Dashlane과 같은 비밀번호 관리자를 사용하여 모든 온라인 계정에 대해 고유하고 복잡한 비밀번호를 만듭니다. 사이트 간에 비밀번호를 재사용하지 않습니다. 이것이 자격증 채우기 공격을 성공하게 만드는 것이기 때문입니다.
모든 계정에서 다중 요소 인증(MFA)을 활성화합니다. 특히 이메일, 은행, 암호화폐, 소셜 미디어 계정에서 활성화하고, 가능하면 SMS 대신 Google Authenticator 또는 Authy와 같은 인증 앱을 사용합니다. SMS는 SIM 스와핑에 취약하기 때문입니다.
계정을 정기적으로 모니터링하여 의심스러운 활동이 없는지 확인하고, 새 기기나 위치에서의 로그인에 대한 계정 경고를 설정합니다. 대부분의 주요 플랫폼을 통해 활성 세션을 검토하고 알 수 없는 기기에서 로그아웃할 수 있습니다.
Equifax, Experian, TransUnion에 사기 경고 또는 신용 동결을 요청하여 공격자가 침해 중에 당신의 개인 정보를 획득한 경우 당신의 이름으로 새 계정을 개설하는 것을 방지합니다.
haveibeenpwned.com 및 researchbreaches.com을 사용하여 당신의 이메일 주소가 알려진 데이터 침해에 나타나는지 확인합니다. 침해에서 발견된 경우 해당 계정의 비밀번호와 동일한 자격증을 사용하는 다른 계정의 비밀번호를 즉시 변경합니다.
최신 보안 패치로 기기를 업데이트 상태로 유지하고 신뢰할 수 있는 바이러스 백신 소프트웨어를 사용하여 키로거 또는 자격증 도용 악성소프트웨어가 당신의 비밀번호를 대상 웹사이트에 도달하기 전에 캡처하는 것을 방지합니다.

실제 사례

한 소프트웨어 개발자의 LinkedIn 자격증은 2021년 침해로 유출되었지만 그녀는 비밀번호를 업데이트하지 않았습니다. 몇 개월 후, 공격자들은 유출된 사용자명과 비밀번호를 사용하여 그녀의 LinkedIn 계정에 접근한 후 계정 복구 프로세스를 사용하여 그녀의 Gmail 비밀번호를 재설정했습니다. 이메일에 접근한 후 그들은 AWS, GitHub, 은행 비밀번호를 재설정하여 회사의 클라우드 인프라와 개인 저축에 접근했습니다. 그녀의 회사 보안 팀이 비정상적인 AWS 접근 패턴을 탐지했을 때 침해를 발견했으며, 공격이 이미 8,000달러의 부정 클라우드 요금을 초래했고 기밀 프로젝트 코드를 노출시켰음을 드러났습니다.

한 소매점 관리자는 업무 계정, 이메일, 개인 금융 시스템에서 동일한 비밀번호를 재사용했습니다. 소매점이 50,000명의 직원 자격증을 노출시키는 데이터 침해를 당했을 때, 공격자들은 인기 있는 은행 웹사이트에 대해 이러한 자격증을 즉시 테스트했습니다. 관리자의 은행 계정은 12시간 내에 접근되었으며, 사기꾼들은 은행의 사기 탐지 시스템이 추가 거래에 대한 보류를 트리거하기 전에 4,200달러를 암호화폐 거래소로 전송했습니다. 조사에 따르면 공격자들은 47개의 서로 다른 웹사이트에서 자격증을 테스트했으며, 그의 이메일과 PayPal 계정도 성공적으로 접근했습니다.

전자상거래 사업가는 판매자 계정에 비정상적인 차지백을 발견했고, 공격자들이 자격증 채우기를 통해 그녀의 이메일에 접근했음을 발견했습니다. 그녀의 이메일 접근을 사용하여 그들은 전자상거래 플랫폼의 관리 패널에 로그인했고 제품 가격을 수정했으며, 고객 지불을 공격자 통제 계정으로 리다이렉트했으며, 고객 결제 정보를 도용했습니다. 그녀가 사기를 알아차리기 전의 5일 동안 공격자들은 23,000달러의 리다이렉트된 거래를 처리했으며 300명 이상의 고객에 대한 결제 데이터를 손상시켰으며, 상당한 법적 책임과 평판

신고 채널 — 대한민국

귀하의 지역에서 이 사기를 신고할 수 있는 공식 채널.

경찰청 사이버범죄 신고시스템 (ECRM)

사이버 범죄

경찰청 사이버수사 신고. 보이스피싱·해킹·온라인사기 통합 접수.

182 방문 →

한국인터넷진흥원 KISA 118

개인정보 침해, 스팸, 해킹 등 종합상담 (24시간).

118 방문 →

금융감독원 1332

금융 감독

보이스피싱·금융사기 신고 및 피해구제 상담.

1332 방문 →

한국소비자원

소비자 보호

소비자 피해 상담 및 분쟁조정.

1372 방문 →

이 사기를 의심하시나요?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), 자격증 채우기 공격: 해커가 당신의 비밀번호를 악용하는 방법 is described at https://scamlens.org/ko/encyclopedia/credential-stuffing.

https://scamlens.org/ko/encyclopedia/credential-stuffing

여기서 시작

안전 검사

인텔리전스

도구 및 보고서

프리미엄 서비스

확장 프로그램 및 API