티스토리 뷰
최근에는 다시 사무실로의 복귀가 발생하고 있긴 하지만, “코로나19 대유행의 결과 전 세계 기업이 재택근무 정책을 도입했었고, 이것이 사이버 위협 환경에 직접적인 영향을 미쳐서 사이버 범죄자들은 취약하게 구성된 원격 데스크톱 프로토콜(RDP) 서버의 수가 증가할 것으로 판단하고 공격을 늘렸었다. 줄어들고 있는 추세이긴 하나 재택 근무자를 위해 개방된 기업 리소스가 많아졌었다는 점을 고려하면 관리가 되지 않는 원격 액세스 인프라를 대상으로 한 공격은 당분간 계속될 가능성이 높을 것이다.
그렇다면, 과연 '무차별 대입 공격'이란 무엇인지, 원리는 무엇인지 설명을 해보고자 한다.
[무차별 공격 or 무작위 대입 공격(Brute Force Attack)]
- 비밀번호나 데이터 암호 표준(DES) 키를 풀기 위해 프로그램에 의해 사용되는 시행착오 식의 침입 방법. 부루트 포스 공격(Brute Force Attack)이라고도 한다.
- 프로그램을 사용하여 모든 가능한 문자의 조합을 시행하고 틀리면 다른 문자를 적용해 보는 반복에 의해 시도되는 침입 방법을 말한다.
- 패스워드에 사용될 수 있는 문자열의 범위를 정하고, 그 범위 내에서 생성 가능한 모든 패스워드를 생성하여 이를 하나씩 대입, 패스워드 일치 여부를 확인하는 패스워드 크래킹 방법이다.
- 일반적으로 사전 대입 공격 실패 후, 무차별 공격을 진행한다.
- 최적화나 효율과는 거리가 멀어 얼핏 무식한 방법으로 보이기도 하지만 사실상 정확도 100%를 보장한다.
- 이론적으로 모든 가능한 수를 점검해 보니 실수가 없기 때문에, 암호학에서도 자원이 충분하다는 가정 하에 가장 확실한 방법으로 통한다. 다만 특정 규칙에 따라 문자열에 우선순위를 두고 한다. 완벽한 병렬 작업이 가능한 것 또한 장점인데, 하나의 컴퓨터로 10일 걸릴 작업을 컴퓨터 10대를 사용한다면 하루 만에 끝낼 수 있다. 가령 네 자리의 비밀번호일 경우, 0000에서부터 9999까지의 1만 개의 비밀번호를 일일이 암호 폼에 입력해 일치하는 값을 알아내는 방법이다. 무차별 대입 공격은 해킹에서 주로 사용되며, 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 서버에 대한 공격이 대표적이다.
[공격방법 특징으로 구분해본다면]
- 무작위 순차 대입
- 무차별 대입이라는 특징을 그대로 구현한 것으로, 조합 가능한 모든 문자열을 순차적으로 하나씩 모드 대입해 보는 것이다. 암호가 일치할 때까지 모든 경우의 수를 조합해 대입을 시도한다. 이론상으로 공격에 충분한 시간만 주어진다면 언젠가는 비밀번호를 맞추게 될 것이다.
- 다만 현실적으로는 암호의 길이와 복잡도의 증가에 따라 공격에 걸리는 시간이 기하급수적으로 늘어나므로 무조건 성공한다고 보기 어렵다. 무차별 대입 공격의 소요 시간을 줄이기 위해 미리 정의된 문자열 목록을 이용하기도 한다.
- 사전(Dictionary) 대입
- 상당한 시간이 소요되는 무작위 순차 대입 방식의 단점을 극복 및 보완하는 방법으로, 미리 정의된 문자열 목록을 대입하는 방법이다. 사전 파일을 이용한 공격이라고 해서 사전 공격이라 한다.
- 미리 정의된 비밀번호 사전을 준비하여 하나씩 대입해 보는 방식으로 여기서, 사전 파일은 그동안 통계적으로 많이 사용되어 오거나, 사람들이 흔히 사용할법한 비밀번호 조합을 미리 목록 형태로 정의해 둔 파일이다.
- 사람들은 의외로 단순한 비밀번호를 많이 사용하며 여러 다른 사이트에 걸쳐 동일한 비밀번호를 사용하기도 하므로 사전 대입 방식은 무차별 대입 공격에 드는 시간을 극적으로 줄이면서 공격 성공률을 높이는 아주 효율, 효과적인 공격기법이다.
[무작위 대입 공격(Brute Force Attack)에 대한 대안]
- 이용자 관점
- 이용자 관점에서 안전한 패스워드를 사용하는 것이 무차별 대입 공격에 대한 대안이라고 할 수 있다.
- 길고 복잡한 비밀번호 사용
비밀번호는 길면 길수록 그리고 복잡할수록 알아내기 힘들다. 무작위 대입 방식의 공격은 가능한 문자열 조합을 순차적으로 모두 시도해 보는 것이기 때문에 비밀번호가 길고 복잡해질수록 공격에 드는 시간은 기하급수적으로 늘어난다. 따라서 가장 기본적인 대응 방안은 길고 복잡한 비밀번호를 사용하는 것이다. - 유추하기 힘든 패스워드 사용
일반적으로 사람들은 자신이 기억하기 쉽게 하기 위해, 자신의 개인정보와 비밀번호를 연관시키는 경우가 많다. 이런 개인적 의미의 비밀번호는 무차별 대입 공격을 하는 사람이 지인이라면 쉽게 유추할 수 있는 비밀번호다. 또한 개인정보와 관련되지 않더라도 쉽게 유추할 수 있는 비밀번호가 있는데 통계적으로 많이 사용되어온 의미 있는 단어들이다. football, qwertyuiop, 123qwe, iloveyou, rainbow, alaska 등의 단어들은 인터넷에서 아주 쉽게 구할 수 있다. 사전 공격에서 사용되는 파일에는 수천만 개 이상의 비밀번호 조합이 존재하므로 유추하기 힘든 자신만의 비밀번호 조합을 사용하는 것이 좋다...
- 기업 관점
- 안전한 패스워드 규칙 : 안전한 패스워드 규칙이란 비밀번호를 길고 복잡하게 만들도록 규칙을 강제하는 것이다. 이를 통해 이용자의 공개된 개인정보가 비밀번호로 사용되는 것을 경고할 필요가 있다. 이용자가 알아서 유추 불가능한 비밀번호를 생성할 수도 있지만 그렇지 않은 경우 규칙으로 강제해야 하는데, 현재 많은 사이트들에서 비밀번호 복잡성 규칙을 강제하고 있다.
- 로그인 시도 횟수 제한 : 무차별 대입 공격은 임의의 문자열을 무차별 대입해 보는 공격이므로 많은 로그인 시도와 로그인 실패를 반복하게 된다. 따라서 자동화되고 반복적인 시도를 불가능하게 만들기 위해 로그인 실패가 누적될 경우, 아래와 같은 특별한 조치를 취하는 것이다.
- 계정 잠금 : 로그인 실패가 일정 횟수 이상이 되면 더 로그인 시도를 할 수 없도록 계정을 잠그는 것이다. 이렇게 하면, 자동화된 툴로 수많은 로그인 시도를 할 수 없거나 힘들게 되어 공격 성공률이 떨어지게 된다. 잠긴 계정을 풀기 위해서는, 일정 시간이 지나면 자동으로 풀어주거나 추가 본인 확인을 거쳐 풀어주는 방식이 있다.
- 캡챠 요구 : 계정 잠금보다는 조금 완화된 방법으로, 로그인에 반복적으로 실패할 경우, 캡챠를 같이 입력하도록 한다. 이는 무차별 대입 공격의 자동화되고 반복적인 로그인 시도 자체를 불가능하게 하여 이 공격의 기본 메커니즘을 흔들어 버리는 것이다. 이 방식은 공격자의 공격 의지를 상당히 깎아 내리는 효과적인 방법이다.
- 다중 인증 : 아이디, 패스워드 이외에 추가 인증 수단을 제공하는 방식이다.
[다중 인증 의 예] * 캡챠(Captcha) 추가 : 계정 잠금이 된 후, 캡챠를 사용할 수도 있지만, 처음부터 로그인 시 캡챠를 같이 요구하는 경우도 있다. 위 그림의 캡챠의 경우, 매번 캡챠의 문자가 바뀌는 형식으로 무차별 대입 공격을 시도할 때 문자가 매번 바뀌기 때문에 공격을 자동화시키기 매우 힘들다. 하지만 캡챠 사용은 보안성을 높일지는 몰라도 이용자의 사용 편의성은 상당히 떨어진다. 로그인할 때마다 캡챠 문자를 입력해야 하기 때문이다. * 기기 인증 : 아이디, 패스워드뿐 아니라 로그인을 시도하는 기기도 인증하는 방식이다. 관리자 모드에서 기기인증을 활성화할 경우, 한 번도 접속한 적 없는 기기에서 로그인을 시도하면 메일을 통한 기기 인증을 받게 되어 있다. 해커의 경우, 정상 이용자의 기기와는 다른 기기에서 로그인을 시도할 것이기 때문에 로그인 시도를 할 수가 없게 된다. * 기타 추가 인증 수단 : 2요소(two factors) 인증이란 지식 기반인 비밀번호 외에 소유기반인 휴대전화, OTP, 보안카드 또는 생체기반인 지문과 같은 인증요소를 둘 이상 결합한 인증 방식을 말한다. 2요소 인증을 사용하면 무차별 대입 공격을 거의 완전하게 방어 할 수 있다. 하지만 사용 편의성이 너무 떨어지기 때문에 일반적인 사이트에서 로그인 보안으로는 과한 면이 있다. |
- 강력한 로깅과 모니터링 : 많은 방어책을 갖추었다 해도 사이트 운영 중 모니터링은 필수 요소이다. 모니터링하려면 로그인 요청과 실패에 대한 사항을 기록하고 감시해야 한다. 또 이상 현상에 대한 임계치를 설정하고 임계치에 도달할 경우, 관리자에게 자동으로 경보 되도록 모니터링 체계를 구축하는 것이 바람직하다. 또한 이렇게 모니터링해서 이상 현상이 감지되면, 공격용으로 의심되는 아이피에 대한 조사 및 블럭킹 등 적극적인 조치가 뒤따라야 한다.
[무작위 대입 공격(Brute Force Attack) 발생 사례]
- 우리은행 해킹 사건
2018년 6월 23일 우리은행이 무차별 대입 공격을 받아 고객정보 약 5만 6,000건이 유출된 사건이다. 우리은행은 해킹으로 인한 고객정보 유출이 아닌, 기존 타 사이트 해킹 등으로 이미 유출된 개인정보를 바탕으로 약 86만 건의 무차별 대입 공격을 펼쳐 이 중 5만 6,000건이 성공했다고 밝혔다. 우리은행은 사건 당시 고객들의 민원을 받아 접속 이력을 확인한 후, 무차별 대입 공격을 확인하여 해당 아이피를 차단하고 사이버수사대에 신고하는 등 즉각적인 조치를 했다. 우리은행은 이번 공격으로 인한 2~3차 피해는 없었다며 접속 시도가 일어났던 고객에게 별도로 연락해 사실을 공지하고 다른 금융사의 비밀번호 등을 바꿀 것을 당부했다.
- 워드프레스 공격 사건
2017년 12월 18일 보안업체인 워드펜스(Wordfence)에 의하면 워드프레스 사이트를 대상으로 대규모 무차별 대입 공격이 발생했다고 한다. 이 공격은 시간당 공격수가 1,400만 건에 달할 정도로 규모가 큰 공격으로 관련된 아이피의 총개수는 10,000개에 달했다. 또한 시간당 공격 대상이 된 워드프레스 사이트가 최대 19만 개에 도달했다. 워드펜스는 워드프레스 보안 서비스를 시작한 2012년 이래 시간당 공격량으로는 최대 규모라고 발표했다.
- 아이클라우드(iCloud) 해킹
2014년 9월 미국 유명 익명 이미지 공유 사이트인 4chan을 비롯한 여러 사이트에서 할리우드 톱스타들의 나체 사진이 다량으로 공유되었다. 이는 빠른 속도로 인터넷을 타고 전 세계로 확산되었고 지금까지 확인된 피해 톱스타들은 제니퍼 로렌스, 리한나, 셀레나 고메즈 등이며, 셀 수도 없을 만큼 많은 수의 스타들이 피해자가 된 사건이다. 이에 애플은 본인들은 모른다는 의사를 밝히고 다시 한번 보안을 강화한다는 발표를 하였다.
- 영국과 스코틀랜드 의회, 캐세이 퍼시픽(Cathay Pacific) 항공
2017년에는 영국과 스코틀랜드 의회가 무차별 대입 공격의 피해를 보았고, 1년 뒤에는 북아일랜드 의회를 대상으로도 비슷한 공격이 일어났지만 성공하지 못했다. 다음 해에는 캐세이 퍼시픽(Cathay Pacific) 항공이 무차별 대입 공격을 받았는데, 영국 데이터 감독 기관은 충분한 예방 수단을 두지 않았다는 이유로 캐세이 퍼시픽에 50만 파운드(약 63만 달러) 벌금을 부과했다. 광고 차단 서비스인 애드 가드(Ad Guard) 역시 무차별 대입 공격을 받은 이후 모든 사용자를 대상으로 강제 비밀번호 재설정을 했다.
- 다음 : 무차별대입공격 원리 -
'정보보안.Security' 카테고리의 다른 글
[리눅스][초보][보안][무차별대입공격유형] (1) | 2022.12.31 |
---|---|
[리눅스][초보][보안][무차별대입공격 원리] (1) | 2022.12.30 |
[리눅스][초보][보안][2단계인증/멀티팩터인증(TYPE1~4)] (1) | 2022.12.28 |
[리눅스][초보][보안][구글 비밀번호 진단기능 활용하기] (1) | 2022.12.27 |
[리눅스][초보][보안][재택근무 시 지켜야 하는 10가지 보안수칙] (0) | 2022.12.26 |