Page 15 - KAIST GSIS 2023 Vol.10
P. 15
03 KAIST 전기 및 전자공학부 김재한 박사 과정 및 신승원 교수(정보보호대학원 겸
임)로 구성된 연구팀은 그래프 신경망을 기반의 자격 증명 스터핑 위험 예측 프레
임워크 PassREfinder를 개발하였다. PassREfinder는 다양한 실제 온라인 서비스
에 도입 가능하며 안전한 자격 증명 사용에 크게 기여할 것으로 기대된다. 이에 세
계 최고 권위의 정보 보안 국제 학술대회인 IEEE Symposium on Security and
PassREfinder: Privacy (S&P) 2024에 채택되었다.
Credential 자격 증명 스터핑(Credential Stuffing) 공격은 사용자의 비밀번호 재사용 습관을
악용하여 유출된 자격 증명을 기반으로 다른 서비스의 계정 및 정보를 탈취하는 행
Stuffing Risk 위를 말한다. 해당 공격의 심각한 피해를 줄이기 위해 유출된 자격 증명 사용을 탐
지하거나 자격 증명 정보를 공유하여 공격 시도를 탐지하는 기법들이 제안되었다.
Prediction by 그러나 해당 탐지 방식들은 각각 새로운 자격 증명에 대한 공격을 탐지하지 못하는
문제와 개인 정보 침해 위험성과 탐지 과정의 복잡도로 인해 현실적인 도입이 어려
Representing 운 한계점을 가지고 있다. 또한, 비밀번호 재사용을 탐지하면 자격 증명 사용을 즉
Password Reuse 시 제한하여 사용자의 불편을 과도하게 야기한다.
between Websites 본 연구는 자격 증명 스터핑 공격이 발생하기 전에 그 위험을 미리 식별하고자 했
다. 웹사이트 간 공격 위험성을 예측하기 위해, 그래프 신경망 기반 딥러닝 프레임
on a Graph 워크 PassREfinder를 개발하여 웹사이트 사이의 복잡한 비밀번호 재사용 경향을
모델링하였다. 특히 그래프 어텐션(Graph Attention) 및 멀티모달 어텐션(Multi-
modal Attention)을 적용하여 사용자의 각기 다른 비밀번호 사용 양상을 반영하
였으며, 새로운 웹사이트로 확장을 위해 보조 엣지(Hidden Relation Edge) 기법
을 개발하여 그래프 모델링의 기술적 문제를 완화하였다. 또한 계정 정보 및 개인
정보를 활용하지 않고 공개된 웹사이트 특성만을 활용하여 개인 정보 침해 문제를
제거하였고, 다양한 웹사이트에 도입이 가능하고 대규모 온라인 환경에서 동작할
수 있어 실질적인 활용성이 매우 높다.
PassREfinder의 성능과 활용성을 평가하기 위해 3억 6천만여 개의 실제 자격 증명 데
이터에 대한 대규모 실험을 수행하였다. 다수의 새로운 웹사이트가 존재하는 경우에도
91%의 피해 예측 정확도를 달성하였으며, 수만 개의 웹사이트 환경에서 효율적으로
동작하였다. 또한 프레임워크 결과물을 바탕으로 자격 증명 스터핑의 위험도를 정량
적으로 측정할 수 있음을 검증하여 PassREfinder의 뛰어난 활용 가능성을 확인하였다.
PassREfinder 구조
Graduate School Of Information Security 15
