무차별 대입 공격이란?

무차별 대입 공격은 여러 가지 형태를 취할 수 있습니다. 단순한 무차별 대입 공격은 올바른 숫자 또는 문자를 찾을 때까지 가능한 모든 조합을 체계적으로 시도합니다. 이 방법은 특히 길거나 복잡한 비밀번호의 경우 시간과 리소스가 많이 소요될 수 있습니다.

보다 집중적인 기법은 사전 공격(dictionary attack)으로, 미리 정의된 사용 가능한 비밀번호 또는 구문 목록을 사용합니다. 공격자는 기존의 무차별 대입 공격에서처럼 가능한 모든 숫자 또는 문자 조합을 시도하는 대신, 사전에 있는 각 단어 또는 구문을 올바른 항목이 식별될 때까지 체계적으로 시도합니다. 사전 공격은 단순한 무차별 대입 공격보다 빠르지만 비밀번호가 충분히 복잡하거나, 특수 문자를 사용하거나, 사용 중인 사전에 포함되어 있지 않은 경우 실패하기 쉽습니다. 또한 동일한 로그인 프롬프트에서 사전 공격을 사용하면 속도 제한 및 계정 잠금 제어 기능이 빠르게 트리거됩니다.

하이브리드 무차별 대입 공격은 사전 공격과 단순한 무차별 대입 공격의 요소를 결합한 것입니다. 하이브리드 공격에서 공격자는 기존 무차별 대입 공격처럼 무작위 문자 집합을 사용하기도 하고 사전 공격처럼 일반적인 단어와 구문 목록을 사용하기도 합니다. 이러한 하이브리드 방식은 사전의 일반적인 비밀번호와 예측하기 어려운 문자 조합을 모두 활용하여 성공 가능성을 높입니다.

또 다른 형태의 공격은 역 무차별 대입 공격입니다. 공격자는 특정 계정에 대해 여러 비밀번호를 연속적으로 시도하는 대신, 많은 수의 계정 사용자 이름에 대해 일반적으로 사용된다고 생각되는 특정 비밀번호(예: "password1234")를 적용합니다. 이 방법은 표적이 된 계정 중 적어도 일부가 선택된 비밀번호를 사용한다는 가정에 의존하며 로그인 시도 실패 횟수에 따라 완화 조치를 트리거할 가능성이 낮습니다.

크리덴셜 스터핑은 일반적으로 무차별 대입 공격(공격자가 알려진 사용자 이름과 비밀번호 목록을 이미 가지고 있음)의 한 형태로 간주되지 않지만, 계정에 무단으로 액세스한다는 목표를 공유하며, 종종 계정 탈취(ATO)와 사기가 뒤따릅니다. 크리덴셜 스터핑은 자동화된 스크립트 또는 도구를 사용하여 이전 데이터 유출 또는 다크웹으로부터 얻은 사용자 이름/비밀번호 조합 등과 같은 손상된 대량의 자격 증명을 다양한 온라인 로그인 양식에 빠르게 적용시킵니다. 크리덴셜 스터핑은 무차별 대입 공격처럼 가능한 모든 조합을 철저하게 테스트하지는 않지만, 여전히 자동화된 무단 액세스 시도 방법이기 때문에 심각한 보안 위협이 됩니다. 두 유형의 공격은 OWASP Top 10 및 OWASP 자동화 위협 프로젝트에서 상위 위험으로 간주됩니다.

취약하거나 손상된 인증은 무차별 대입 공격자의 또 다른 진입 수단입니다. 일부 인증 시스템에는 특정 기간 내의 로그인 시도 횟수를 제한하는 잠금 또는 스로틀링 메커니즘이 구현되어 있지 않습니다. 이러한 안전 장치가 없으면 공격자가 아무런 제한 없이 반복적으로 비밀번호 추측을 시도할 수 있으므로 무차별 대입 공격의 성공 가능성이 높아집니다.

무차별 대입 공격은 세션 ID를 추측하거나 세션 관리 메커니즘의 취약점을 악용하여 유효한 세션 ID를 획득하거나 탈취하는 데 사용될 수도 있습니다. 공격자가 유효한 세션 ID를 획득하면 이를 사용하여 인증된 사용자를 가장하여 보호된 리소스에 무단으로 액세스할 수 있습니다.

해커가 무차별 대입 공격을 하게 되는 동기는 매우 다양하지만 일반적으로 악의적인 목적으로 시스템, 네트워크 또는 계정에 무단으로 액세스하는 것과 관련이 있습니다.

공격자가 신용카드 번호나 은행 자격 증명과 같은 금융 정보를 훔쳐 사기 또는 절도를 저지르는 경우처럼 금전적 이득을 노리는 것이 일반적인 동기입니다. 또한 개인 식별 정보(PII), 지적 재산 또는 판매 가능한 기밀 비즈니스 데이터에 대한 액세스 권한을 노릴 수도 있습니다. 공격자는 개인 계정에 대한 액세스 권한을 확보하여 개인을 사칭하고 사기 행위를 저지를 수도 있습니다.

범죄자는 여러 소스를 조정하고 분산 서비스 거부(DDoS) 공격을 실행하는 공격자의 통제하에 있는 디바이스 네트워크인 봇넷을 구성하는 등 다른 형태의 악의적인 행위를 위해 시스템을 하이재킹할 수도 있습니다.

또한 무차별 대입 공격을 통해 시스템과 계정에 무단으로 액세스하면 멀웨어 또는 스파이웨어를 퍼뜨리거나, 웹사이트를 공격 목표로 삼고 음란하거나 불쾌한 텍스트와 이미지로 감염시켜 기업 또는 웹사이트의 평판을 위협할 수 있습니다. 해커는 무단 액세스를 통해 광고 또는 활동 데이터를 악용하여 웹사이트에 스팸 광고를 게재함으로써 광고 수수료를 받거나, 의도한 웹사이트에서 악성 사이트로 트래픽을 리디렉션하여 자격 증명을 도용하거나 사용자를 사취하는 데 무차별 대입 공격을 사용할 수도 있습니다.

OWASP(Open Worldwide Application Security Project)의 Automated Threats to Web Applications Project에서는 무차별 대입 공격을 자격 증명 크래킹 공격(OAT-007)의 한 유형으로 파악합니다. F5는 OWASP의 많은 자동화된 위험을 해결하는 솔루션을 제공합니다. F5 Distributed Cloud Bot Defense는 봇과 악성 자동화를 차단하여 기존 봇 관리 솔루션을 우회할 수 있는 ATO와 그로 인한 사기 및 악용을 방지합니다. Distributed Cloud Bot Defense는 실시간 모니터링 및 인텔리전스, ML 기반 소급 분석을 제공하여 무차별 대입 기술을 사용한 공격을 포함한 자동화 공격으로부터 조직을 보호할 수 있도록 합니다.

또한 F5 Web Application Firewall(WAF) 솔루션은 OWASP에서 파악한 광범위한 위험을 차단하고 완화합니다. F5 WAF 솔루션은 F5 Labs의 Threat Intelligence 및 ML 기반 보안을 포함한 서명 보호 및 행동 보호 기능을 결합하여 새로운 위협에 대응합니다. 또한 WAF는 무차별 대입 공격을 방지하기 위해 구성된 로그인 URL에 도달하기 위해 실패한 시도 수를 추적합니다. 무차별 대입 패턴이 탐지될 경우 로그인 실패율이 크게 증가하거나 로그인 실패가 최대 임계치에 도달하면 WAF 정책에 따라 이를 공격으로 간주합니다.

F5 WAF 솔루션은 F5 Bot Defense 솔루션과 통합되어 취약점 악용 및 자동화된 무차별 대입 공격을 포함한 주요 보안 위험에 대한 강력한 완화 기능을 제공합니다.