[리눅스][초보][보안][무차별대입공격 원리]

무차별대입공격(Brute Force Attack)원리 ©pixabay

'무차별 대입 공격' 또는 '무작위 대입 공격'은 'Brute Force Attack' 이라고도 하는데, 이것은 

• 인증 정보(사용자 이름과 비밀번호)를 알아내기 위해 공격자가 반복적, 체계적으로 매번 다른 사용자 이름과 비밀번호를 입력하는 방식의 공격이다. 
• 단순하지만 리소스를 많이 소비하는 시행착오 기반의 접근 방식으로, 보통 자동화된 툴(프로그램)이나 스크립트 또는 봇을 사용해 액세스 권한을 획득할 때까지 가능한 모든 조합을 대입하여 시도하는 공격이다.  

 

[무차별 대입 공격의 원리]

무차별대입공격(Brute Force Attack)원리 ©pixabay

• 무차별 대입 공격은 웹사이트 또는 애플리케이션의 로그인 페이지를 노리는 스크립트 또는 봇을 통해 실행되는 경우가 많다. 
• 스크립트와 봇은 가능한 모든 키 또는 비밀번호의 조합을 돌아가면서 시도한다. 무차별 대입 공격은 보통 웹사이트 또는 애플리케이션, 암호화 또는 API 키 및 SSH 로그인의 비밀번호 크랙에 활용된다.

 

보안 업체 카스퍼스키(Kaspersky)의 수석 보안 연구원에 따르면 아래와 같다. 

• 비밀번호 크랙 공격은 공격자의 킬 체인 중 한 단계에 불과하다. 
• 이 공격으로 사용자, 이메일, 뱅킹 또는 SaaS 계정에 대한 액세스 권한을 획득하거나 API 또는 기타 로그인 및 인증 정보가 필요한 서비스에 침입할 수 있다.
• 여기서부터 공격자는 원래의 목적에 따라 행동한다. 사이버 범죄자는 성공적인 무차별 대입 공격으로 네트워크의 대상 컴퓨터에 대한 원격 액세스 권한을 획득한다. 
• 이런 공격자의 주된 목표는 개인 정보를 획득해 온라인 계정과 네트워크 리소스에 액세스하는 것이다. 이후 피싱 링크를 보내 가짜 콘텐츠를 퍼뜨리거나 제3자에 판매할 인증 정보를 빼낼 수 있다.       

참조) "킬 체인" 용어 유래 킬 체인이란 용어는 1991년 걸프전으로 인하여 등장하게 되었다. 걸프전까지만 해도 보통 목표물을 타격하는 항공임무명령서(ATO)는 보통 24시간에서 72시간 간격으로 작성되었다. 즉 목표물을 정하고 공격하기까지 짧으면 1일에서 길게는 3일까지 시간(전문용어로는 ‘표적화 주기’)이 걸린다는 말이다. 예를 들어 1991년 걸프전 당시 미군은 새롭게 파악한 바그다드의 중요시설을 토마호크 순항미사일로 파괴하는데 3일이 필요했다. 하지만 이라크가 주변의 아랍국 참전을 유도하기 위해 이스라엘에 스커드 미사일을 발사하게 되자, 다국적군은 신속히 스커드 공격을 막아야만 했다. 패트리어트 PAC-2 미사일을 전진배치하여 이라크군의 스커드 공격을 방어하고자 했지만, 역시 최선의 방어는 공격이었다. 즉 스커드 이동발사대를 탐지하여 격멸하는 “스커드 대규모 사냥(Great Scud Hunt)”임무가 실시되었다. 이러한 스커드 사냥임무는 기존의 표적화 주기처럼 3일을 기다릴 수가 없었다.결국 이렇게 중요성이 시간별로 바뀌는 시한성 긴급표적(Time-Sensitive Target), 즉 중요한 이동표적을 파괴하는 임무는 별도로 수행되었다. 바로 킬 체인이 시작된 것이다. 우리 국방부는 지난 2월 13일 북한의 비대칭 위협에 대한 억제전략으로 킬체인을 2015년부터 조기구축하겠다는 입장을 밝혔다. 즉 한국형 킬 체인을 구축하여 이상징후 탐지후 30분 내에 핵무기를 선제타격하겠다는 말이다. 일단 국방부에서 발표된 자료에 따르면 다음과 같은 과정을 거친다.  ① 한미의 정찰위성과 정찰기 등 감시정찰자산으로 1분 내에 위협을 탐지하고   ② 1분 내에 식별한다.   ③ 식별된 정보를 바탕으로 3분내에 타격을 명령한다.   ④ 25분 내에 목표물을 타격을 완료한다.

참조) "사이버 킬 체인" 설명 사이버보안 세계에서는 뚫리지 않는 방패는 없다는 것이 이제는 정설이 되었다. 공격자가 충분한 시간과 자원을 갖고 꾸준히 공격한다면 뚫지 못할 시스템은 없으며, 이런 공격을 막아낼 수 있는 조직은 전무하다는 것이다. 따라서 100% 막겠다는 방어 전략은 불가능하며 모든 조직의 보안 전략은 해킹 당했다는 가정 속에서 세우고 실행해야 한다. 이처럼 방어 기반의 전통적인 보안 전략의 한계가 드러났기 때문에 조직과 보안 전문가들은 새로운 방어 전략을 구상하고 시스템을 갖춰야 했고, 이런 상황에서 제시된 전략 가운데 하나가 바로 군사용어인 "사이버 킬 체인(Cyber Kill Chain)"이다. "사이버 킬 체인"은 사이버 공격을 프로세스 상으로 분석해 각 공격 단계에서 조직에게 가해지는 위협 요소들을 파악하고 공격자의 목적과 의도, 활동을 분쇄, 완화시켜 조직의 회복 탄력성을 확보하는 전략인데, 한 마디로 공격자의 입장에서 사이버 공격 활동을 파악, 분석해 공격 단계 별로 조직에게 가해지는 위협 요소를 제거하거나 완화하자는 것이다. 정보보안에서 "사이버 킬 체인"은 군사 용어인 킬 체인(Kill Chain, 타격순환체계)에서 가져온 것이지만 의미는 조금 다르다. 1991년 걸프전에서 처음 등장한 킬 체인 전략은 위에서 설명한 바와 같이 이라크군의 스커드 미사일을 방어하기 위한 선제 공격형 방어 전략이었다. 이 방어 전략은 날아가는 미사일을 맞추는 것보다 발사하기 전의 미사일 시설을 먼저 타격한다는 것이다. 킬 체인은 탐지에서 교전까지 걸리는 시간을 얼마나 단축하느냐에 성패가 달렸다. 이후 킬 체인 전략은 좀더 발전, 확대되어 대테러 전쟁에도 확대 적용되고 있다. 사이버 보안에서 킬 체인이라는 용어를 처음 사용한 것은 군수업체인 록히드 마틴(Lockheed Martin Corporation)이다. 현재 "사이버 킬 체인" 전략은 사이버 공격을 분석하는 가장 잘 알려진 모델 가운데 하나이며, 각 보안 업체는 "사이버 킬 체인"에 기반한 단계별 방어 전략을 마련하고 있다.

 

 

 

 

특정 사이트의 비밀번호를 추정하는 과정은 많은 노동과 시간이 드는 작업이다. 그래서 해커는 더 빠른 작업을 위한 툴을 개발했다. 

무차별 대입 공격을 보조하는 자동화된 툴 브루투스(Brutus), 메두사(Medusa),THC 하이드라(THC Hydra), 엔크랙(Ncrack), 존 더 리퍼(John the Ripper), 에어크랙-ng(Aircrack-ng), 레인보우(Rainbow) 등

보안 업체 카스퍼스키(Kaspersky)의 수석 보안 연구원은 “자동화 툴 툴을 이용하면 단일 사전 단어로 된 비밀번호는 1초 만에 찾을 수 있다. 이와 같은 툴은 많은 컴퓨터 프로토콜(FTP, MySQL, SMPT, 텔넷 등)을 대상으로 작동하며 무선 모뎀을 크랙하고 취약한 비밀번호를 찾고 암호화된 스토리지의 비밀번호를 해독하고 단어를 인터넷 속어로 변환할 수도 있다. 예를 들어 ‘don'thackme’는 인터넷 속어로 ‘d0n7H4cKm3’이 된다”라고 말했다.

 

 

[무차별 대입 공격의 성공은 무엇으로 판단하는가]

무차별 대입 공격의 성공은 비밀번호를 크랙하는 데 소요되는 시간이 짧을 수록이다. 비밀번호의 길이가 길수록 이를 크랙하는 데 필요한 시간이 기하급수적으로 늘어난다. 클라우드플레어(Cloudflare)에 따르면 초당 1,500만 회의 키 입력 시도를 사용할 경우 7자로 된 비밀번호는 9분 만에 크랙된다. 그러나 같은 방식으로 13자 비밀번호를 크랙하는 데는 35만 년이 걸린다.

참조) 클라우드플레어(Cloudflare) 설명  클라우드 플레어는 2009년 9월에 매튜 프린스(Matthew Prince)와 두 명의 동업자가 캘리포니아 주 샌프란시스코에 설립한 에지 컴퓨팅 및 보안업체이다. 해당 회사는 2011년 해커 사이트로 유명한 LulzSec과 Black Hat Hacking Group에 보안 서비스를 제공하며 업계에 알려지기 시작했다. 지난 2014년 2월과 11월에 인터넷 업계의 가장 컸던 디도스공격을 막아내며 업계에서 급부상하기 시작했다.  참조) 에지 컴퓨팅 (Edge Computing) 설명 다양한 단말 기기에서 발생하는 데이터를 클라우드와 같은 중앙 집중식 데이터 센터로 보내지 않고 데이터가 발생한 현장 혹은 근거리에서 실시간 처리하는 방식으로 데이터 흐름 가속화를 지원하는 컴퓨팅 방식이다.  처리 가능한 대용량 데이터를 발생지(소스) 주변에서 효율적으로 처리함으로써 데이터 처리 시간이 큰 폭으로 단축되고 인터넷 대역폭 사용량이 감소하는 장점이 있다.  에지 컴퓨팅은 기존 '클라우드 컴퓨팅(Cloud Computing)과는 다른 컴퓨팅 접근 방법으로, 서로를 대체하는 것이 아닌 각각의 문제점을 보완하는 공생 관계에 가까우며, 에지 컴퓨팅을 클라우드(중앙 구름)환경의 일부 작은 규모의 플랫폼으로 여겨 클라우드렛(Cloudlet, 작은 구름)용어로 쓰기도 하고, 단말 기기 주변(Edge)에서 처리되는 것을 가리켜 '포그 컴퓨팅(Fog Computing)이라고도 한다.

마찬가지로, 암호화 키의 길이가 길수록 무차별 대입 공격으로 키를 알아내는 데 필요한 시간과 리소스가 늘어난다. 128비트 암호화 키의 가능한 조합 수는 2,128개이고 256비트 암호화의 경우 공격자가 시도해야 할 조합의 수가 2,256개에 이른다. 현재 기술에서 가능한 모든 조합을 시도하는 데는 몇조 년이 걸린다.

보안 업체 카스퍼스키(Kaspersky)의 수석 보안 연구원은 “비밀번호의 길이와 복잡성에 따라 크랙하는 데 소요되는 시간도 단 몇 초에서 몇 년까지 크게 차이가 난다. 실제로 IBM에 따르면, 일부 해커는 몇 개월, 심지어 몇 년 동안 매일 같은 시스템을 대상으로 공격을 시도한다”라고 말했다. 

공격자가 초당 시도할 수 있는 조합의 수를 대폭 늘려주는 GPU를 사용한다 해도 비밀번호의 복잡성을 높이고 강력한 암호화를 사용하면 비밀번호를 크랙하는 데 필요한 시간을 비현실적인 수준까지 늘릴 수 있다. 

참조) GPU 설명 GPU 란 컴퓨터 시스템에서, 그래픽 연산을 빠르게 처리하여 결과값을 모니터에 출력하는 연산 장치 이다.  GPU 의 장점으로는 컴퓨터 그래픽과 영상 처리에 매우 효과적으로 사용되며, 고도의 병행 구조는 큰 덩어리의 영상 데이터가 병행 처리되는 알고리즘에 다용도 CPU 보다 능률적 이다.

 

- 다음 : 무차별 대입공격의 유형과 방어 - 

 

[리눅스][초보][보안][무차별대입공격유형]