크리덴셜(Credential)

정보 시스템의 특정 응용에서 사용하는 암호학적 개인정보.

크리덴셜(credential)은 신원을 검증하기 위해 사용되는 비밀번호를 비롯해 공개 키 암호 알고리즘에서 사용하는 공개 키와 개인 키, 공인 인증기관이 발행하는 공개 키 인증서, 최상위 인증기관의 관련 정보와 인가 정보 등이 포함된다.

최근에는 스마트폰, 데스크톱 및 노트북 컴퓨터, 개인용정보단말기(PDA: Personal Digital Assistant) 등 기기의 특정 응용에서 사용한 크리덴셜을 다른 기기로 옮기는 작업이 증가하고 있다. 이에 따라 국제인터넷표준화기구(IETF: Internet Engineering Task Force) 작업반에서 RSA 암호 알고리즘에 기반해 제정된 사실 표준인 공개키 암호 표준(PKCS: Public-Key Cryptography Standards)에 기반을 두고 크리덴셜 이동성 지원 기술 표준화를 진행하고 있다.

크리덴셜을 악용하여 유출된 로그인 정보를 다른 계정에 무작위로 대입해서 타인의 개인정보를 빼내는 수법이 많이 구사되고 있다. 이를 크리덴셜 스터핑(Stuffing)이라 한다. 연예인 스마트폰 해킹 사건, 금융 서비스 부정 결제 사건, 쇼핑몰 개인정보 유출 사건 등이 여기에 해당한다. 즉 여러 방법으로 획득한 아이디와 비밀번호를 이용하여 웹사이트나 앱(App) 로그인을 시도하는 것이다.

크리덴셜 스터핑이 대다수 이용자가 동일한 아이디와 비밀번호를 사용한다는 점을 악용한 만큼 이를 예방하기 위해서는 여러 사이트나 앱의 아이디 및 비밀번호를 다양화하는 것이 필요하다. 다중 인증 방식을 설정해 비밀번호 외에도 생체 인증, 문자 인증, 전화 인증 등 2~3차 인증을 활용해야 한다.

 

양자난수생성(QRNG) 칩 기반으로 해킹 등으로부터 데이터를 보호하는 삼성전자-SK텔레콤의 갤럭시 퀀텀3(출처:전자신문DB)

 

* RSA 암호 알고리즘 : 로널드 리베스트(Ronald Rivest), 아디 샤미르(Adi Shamir) 그리고 레너드 애들먼(Leonard Adleman) 등 3명의 수학자에 의해 개발된 알고리즘을 사용하는 인터넷 공개키 암호화 및 인증시스템으로, 3명의 이름 가운데 첫 글자를 모아 붙인 용어

 

 

 

출처]

한국정보통신기술협회(최신 ICT 시사상식 2023) : 크리덴셜

 

 

 

 

 

대한민국의 아름다운 영토, 독도의 겨울