한국인터넷진흥원에서 실시한 ID·Password 설문조사에 따르면 각 사이트마다 완전히 다른 ID를 사용한다고 응답한 사람은 응답자 2,105명 중 65명에 불과한 반면, 업무용 ID까지 평소와 동일하게 만든다는 사용자는 557명에 이르렀다고 밝혔습니다. 특히, 응답자 중 170명은 개인용 계정과 업무용 계정의 ID는 물론 비밀번호까지 동일한 것으로 나타났습니다.
이렇듯 대다수 사람들은 ‘번거로움’ 보단 ‘익숙함’을 선호하는 편입니다. 하지만 그 익숙함으로 인해 공격자의 표적이 되기도 합니다.
한 예로 지난 7월 어느 한 커피 브랜드에서 해외 IP를 통해 일부 고객의 유출된 계정정보로 애플리케이션에 부정 로그인 시도를 한 정황이 포착된 바 있습니다. 공격자는 불법 취득한 아이디·패스워드를 무작위로 조합해 공격을 시도했으며, 로그인에 성공한 계정의 충전금 결제를 도용해 금전적 피해까지 발생시켰습니다.
이렇듯 여러 앱에서 한 번 유출된 아이디나 패스워드를 이용해 여러 웹사이트 및 앱에 접근해 개인정보나 자료를 탈취하거나 유출하는 공격을 크리덴셜 스터핑(Credential Stuffing)이라고 부릅니다.
크리덴셜 스터핑은 단순한 공격방식을 지니고 있으나, 그 피해는 막대합니다.
또한 글로벌 보안 기업 F5의 ‘2023 개인정보 위협 보고서’ 발표에 따르면, 디지털 개인정보에 가장 영향을 미치는 위협 중 하나로 ‘크리덴셜 스터핑’을 꼽았을 정도이니 말이죠. | 
