용어집: 사이버 보안 용어 및 정의

무차별 대입 공격이란?

무차별 대입 공격은 가능한 문자나 숫자의 조합을 체계적으로 시도하여 비밀번호나 사용자 이름을 추측하고 허가받지 않은 계정에 접근하는 공격입니다.

무차별 대입 공격은 인증 및 권한 부여 제어를 통과하기 위해 문자, 숫자, 기호의 조합을 체계적으로 시도하여 비밀번호를 알아내려는 시도로, 종종 단어 사전과 비밀번호 스프레이와 같은 전술을 사용합니다.

무차별 대입 공격(비밀번호 해독이라고도 함)의 논리는 매우 간단합니다. 가능한 모든 비밀번호 패턴을 입력하는 것입니다. 예를 들어, 비밀번호(패스코드)로 4자리 PIN을 사용하는 경우 "0000"에서 "9999"까지 10,000개의 조합을 모두 시도하여 결국 정답에 도달하게 됩니다. 사람이 직접 시도하기는 어렵지만, 자동화된 도구를 사용하면 고통스럽지 않게 할 수 있습니다. 1초에 하나씩 비밀번호를 시도해 본다면 최대 10,000초(약 2시간 47분) 안에 비밀번호를 알아낼 수 있습니다. 무차별 대입 공격은 특별히 정교한 형태의 사이버 공격은 아니지만 취약한 비밀번호와 보안이 부족한 시스템에 효과적이며, 자동화된 툴킷을 통해 공격자가 확장 및 실행 비용을 절감할 수 있어 지속적으로 공격하고 있습니다.

무차별 대입 공격의 종류

무차별 공격은 여러 형태로 나타날 수 있습니다. 간단한 무차별 대입 공격은 올바른 조합을 찾을 때까지 가능한 모든 숫자나 문자 조합을 체계적으로 시도하는 것을 포함합니다. 이 방법은 시간이 많이 걸리고 리소스도 많이 필요할 수 있습니다. 특히 길거나 복잡한 비밀번호나 암호문구의 경우 더욱 그렇습니다.

더욱 집중적인 기술은 사전 공격인데, 이는 가능한 비밀번호나 문구의 미리 정의된 목록을 사용합니다. 기존의 무차별 대입 공격처럼 숫자나 문자를 가능한 모든 조합으로 시도하는 대신, 공격자는 사전에 있는 각 단어나 구문을 체계적으로 시도해 올바른 단어나 구문을 찾아냅니다. 사전 공격은 단순한 무차별 대입 공격보다 빠르지만, 비밀번호가 충분히 복잡하거나 특수 문자를 사용하거나 사용 중인 사전에 포함되지 않은 경우 여전히 실패할 가능성이 있습니다. 또한, 동일한 로그인 프롬프트에 사전 공격을 사용하면 속도 제한 및 계정 잠금 제어가 빠르게 실행됩니다.

하이브리드 무차별 대입 공격은 사전 공격과 단순 무차별 대입 공격의 요소를 결합한 것입니다. 하이브리드 공격에서 공격자는 기존의 무차별 대입 공격에서처럼 무작위 문자 집합을 사용하고, 사전 공격에서처럼 일반적인 단어와 구문 목록을 사용합니다. 이러한 하이브리드 방식은 사전의 일반적인 비밀번호와 예측하기 어려운 문자 조합을 모두 활용하여 성공 가능성을 높입니다.

또 다른 공격 형태는 역방향 무차별 공격입니다. 공격자는 특정 계정에 대해 다양한 비밀번호를 연속으로 시도하는 대신, 일반적으로 사용될 것으로 생각되는 특정 비밀번호(예: "password1234")를 대량의 계정 사용자 이름에 적용합니다. 이 방법은 대상 계정 중 적어도 일부가 선택한 비밀번호를 사용한다는 가정에 의존하며, 로그인 시도 실패 횟수에 따라 완화 조치가 실행될 가능성이 낮습니다.

하는 동안 신임장 채우기 일반적으로 무차별 공격의 한 형태로 간주되지는 않습니다(공격자가 이미 사용자 이름과 비밀번호 목록을 알고 있음). 계정에 대한 무단 액세스를 얻는다는 목적이 공유되며, 그 후 종종 계정 인수(ATO) 와 사기가 뒤따릅니다. 크리덴셜 스터핑은 자동화된 스크립트나 도구를 사용하여 이전 데이터 침해나 다크 웹에서 얻은 사용자 이름/비밀번호 조합 등의 대량의 손상된 자격 증명을 다양한 온라인 로그인 양식에 빠르게 적용합니다. 신임장 정보 입력에는 무차별 대입 공격처럼 가능한 모든 조합을 철저히 테스트하는 것은 포함되지 않지만, 여전히 무단 액세스를 시도하는 자동화된 방법이므로 심각한 보안 위협이 됩니다. 두 가지 유형의 공격 모두 OWASP Top 10OWASP Automated Threats 프로젝트에서 가장 큰 위험으로 간주됩니다.

취약하거나 손상된 인증은 무차별 대입 공격자가 침입할 수 있는 또 다른 수단입니다. 일부 인증 시스템은 특정 기간 내 로그인 시도 횟수를 제한하는 잠금 또는 조절 메커니즘을 구현하지 않습니다. 이러한 보안 장치가 없으면 공격자는 아무런 제한 없이 반복적으로 비밀번호를 추측하려고 시도할 수 있으며, 무차별 대입 공격이 성공할 가능성이 커집니다.

무차별 대입 공격은 세션 ID를 추측하거나 세션 관리 메커니즘의 취약점을 악용하여 유효한 세션 ID를 획득하거나 하이재킹하는 데 사용될 수도 있습니다. 공격자가 유효한 세션 ID를 얻으면 이를 사용해 인증된 사용자를 가장하고 보호된 리소스에 대한 무단 액세스를 얻을 수 있습니다.

무차별 대입 공격의 동기

해커가 무차별 공격을 감행하는 동기는 매우 다양하지만, 일반적으로는 악의적인 목적으로 시스템, 네트워크 또는 계정에 대한 무단 액세스를 얻는 것입니다.

일반적인 동기로는 금전적 이득이 있습니다. 공격자가 사기나 도난을 저지르기 위해 신용카드 번호나 은행 자격 증명과 같은 금융 정보를 훔치려고 할 때의 예입니다. 또한 판매될 수 있는 개인 식별 정보(PII), 지적 재산권 또는 기밀 비즈니스 데이터에 대한 액세스를 표적으로 삼을 수도 있습니다. 공격자는 개인 계정에 접근해 다른 사람을 사칭하고 사기 행위에 가담할 수도 있습니다.

범죄자는 또한 다른 형태의 악의적인 행동을 위해 시스템을 하이재킹할 수도 있습니다. 예를 들어, 공격자가 여러 소스를 조정하고 분산 서비스 거부(DDoS) 공격을 실행하는 제어되는 장치 네트워크인 봇넷을 구성할 수 있습니다.

무차별 대입 공격을 통해 시스템 및 계정에 무단으로 접근하면 맬웨어나 스파이웨어가 퍼질 수도 있고, 외설적이거나 공격적인 텍스트와 이미지를 웹사이트에 뿌리는 공격을 통해 회사나 웹사이트의 평판을 위협할 수도 있습니다. 해커는 무차별 대입 공격을 통해 광고나 활동 데이터를 악용할 수 있으며, 승인되지 않은 액세스를 통해 웹사이트에 스팸 광고를 게재하여 광고 수수료를 얻거나 의도한 웹사이트의 트래픽을 악성 사이트로 리디렉션하여 자격 증명을 훔치거나 사용자를 사기할 수 있습니다. 

무차별 대입 공격을 방지하는 방법

무차별 대입 공격의 위험을 줄이는 방법은 여러 가지가 있으며, 다음 조치를 여러 개 구현하면 공격자가 비밀번호를 추측하거나 반복적인 로그인 시도를 통해 무단으로 액세스하는 것이 더 어려워집니다. 여기에는 다음이 포함됩니다.

  • 강력하고 복잡한 비밀번호를 사용합니다 . 강력한 비밀번호는 시스템 및 데이터에 대한 무단 접근을 막는 첫 번째 방어선입니다. 명확하게 정의된 비밀번호 정책은 사용자가 대문자, 소문자, 숫자 및 특수 문자를 조합하여 안전한 비밀번호를 만들고 유지 관리하는 데 도움이 됩니다. 점점 정교해지는 비밀번호 해독 도구 덕분에 긴 암호문구가 이제 간단한 비밀번호보다 훨씬 더 보호적일 수 있게 되었습니다. 정책에서는 신임장 정보 유출 공격 및 계정 인수의 주요 원인인 비밀번호 재사용을 금지해야 합니다. 
  • 다중 요소 인증(MFA)을 채택합니다. MFA는 사용자 이름과 비밀번호 또는 암호구문을 입력하는 것 외에도 사용자에게 애플리케이션, 리소스, 온라인 계정 또는 기타 서비스에 액세스하기 위해 추가적인 요소를 제시하도록 요구합니다. 일반적으로 이는 이메일이나 SMS 메시지의 일회용 암호를 스마트폰이나 브라우저에 입력하거나 지문이나 얼굴 스캔과 같은 생체 인식을 제공하는 것을 포함합니다.
  • 계정 잠금 정책을 구현합니다 . 특정 횟수의 로그인 실패가 발생하면, 지정된 기간 동안 또는 관리자가 수동으로 잠금을 해제할 때까지 사용자 계정을 잠급니다. 이를 통해 공격자가 반복적으로 비밀번호를 추측하는 것을 방지할 수 있습니다. 속도 제한은 지정된 기간 내에 단일 IP 주소나 사용자 계정에서 발생하는 로그인 요청 수를 제한하는 데에도 사용할 수 있습니다.
  • 민감한 데이터 암호화. 저장 중이거나 전송 중인 중요한 데이터를 암호화하면 공격자가 시스템에 무단으로 액세스하더라도 암호화 키 없이는 데이터를 읽을 수 없습니다. 공격자는 데이터를 해독하기 위해 암호화 키가 필요하므로 무차별 대입 공격이 효과적이지 않습니다.
  • 소프트웨어를 최신 상태로 유지. 운영 체제, 웹 서버, 애플리케이션을 포함한 모든 소프트웨어가 정기적으로 패치되고 업데이트되어 공격자에 의해 악용될 수 있는 보안 취약점을 해결하도록 하세요.
  • 봇 관리와 웹 애플리케이션 방화벽을 구축합니다. 자동화된 공격을 억제하는 솔루션을 구축하면 무차별 대입 공격을 포함한 악용 사례로부터 중요한 비즈니스 로직을 보호할 수 있습니다.  

F5는 무차별 대입 공격을 어떻게 처리합니까?

OWASP (Open Worldwide Application Security Project) 웹 애플리케이션에 대한 자동화된 위협 프로젝트에서는 무차별 대입 공격을 신임장 해독 공격(OAT-007) 의 한 유형으로 식별합니다. F5는 OWASP의 자동화된 위험 대부분을 해결하기 위한 솔루션을 제공합니다. F5 Distributed Cloud Bot Defense는 봇과 악의적인 자동화를 차단하여 ATO를 방지하고 기존 봇 관리 솔루션을 우회할 수 있는 사기와 남용을 방지합니다. Distributed Cloud Bot Defense는 실시간 모니터링과 인텔리전스는 물론 ML 기반 회고적 분석을 제공하여 무차별 대입 공격을 포함한 자동화된 공격으로부터 조직을 보호합니다.

F5 웹 애플리케이션 방화벽(WAF) 솔루션은 OWASP에서 식별한 광범위한 위험을 차단하고 완화합니다. F5 WAF 솔루션은 F5 Labs의 위협 인텔리전스와 ML 기반 보안을 비롯한 서명 및 행동 보호 기능을 결합하여 새로운 위협에 대응합니다. 무차별 대입 공격을 방지하기 위해 WAF는 구성된 로그인 URL에 도달하려는 시도가 실패한 횟수를 추적합니다. 무차별 대입 공격 패턴이 감지되면 로그인 실패율이 크게 증가하거나 로그인 실패가 최대 임계값에 도달한 경우 WAF 정책은 이를 공격으로 간주합니다.

F5 WAF 솔루션은 F5 봇 방어 솔루션과 통합되어 취약성 악용 및 자동화된 무차별 대입 공격을 포함한 심각한 보안 위험에 대한 강력한 완화책을 제공합니다.