정보 시스템의 특정 응용에서 사용하는 암호학적 개인 정보를 이른다.
신원을 검증하기 위해 사용되는 비밀번호를 비롯해 공개 키 암호 알고리즘에서 사용하는 공개 키와 개인 키, 공인 인증기관이 발행하는 공개 키 인증서, 취상위 인증기관의 관련 정보와 인가 정보 등이 포함된다.
최근에는 스마트폰, 데스크톱 및 노트북 컴퓨터, 개인휴대정보단말기(PDA) 등 기기의 특정 응용에서 사용한 크리덴셜을 다른 기기로 옮기는 작업이 증가하고 있다.
이에 따라 국제인터넷표준화기구(IETF) 작업반에서 미국 RSA가 제정한 사실 표준인 공개키암호표준(PKCS)에 기반을 두고 크리덴셜 이동성 지원 기술 표준화를 진행하고 있다.
크리덴셜을 악용, 유출된 로그인 정보를 다른 계정에 무작위 대입해서 타인의 개인정보를 빼내는 수법이 많이 구사되고 있다. 이를 크리덴셜 스터핑(Stuffing)이라 한다. 연예인 스마트폰 해킹 사건, 금융 서비스 부정 결제 사건, 쇼핑몰 개인정보 유출 사건 등이 여기에 해당한다.
즉 여러 방법으로 획득한 아이디와 비밀번호를 이용, 웹사이트나 애플리케이션(앱) 로그인을 시도하는 것이다.
크리덴셜 스터핑이 대다수 이용자가 동일한 아이디와 비밀번호를 사용한다는 점을 악용한 만큼 이를 예방하기 위해서는 여러 사이트나 앱의 아이디 및 비밀번호를 다양화하는 것이 필요하다.
또 다중 인증 방식을 설정해 비밀번호 외에도 생체 인증, 문자 인증, 전화 인증 등 다양한 2~3차 인증을 활용해야 한다.
정예린기자 yeslin@etnews.com