비밀번호 목록 공격은 공격자가 다른 사이트의 취약점을 통해 얻은 미리 컴파일된 ID와 비밀번호 목록을 사용하여 기업이나 조직 웹사이트에 무단으로 접근을 시도하는 사이버 공격 유형입니다. 이 방법은 "계정 목록 공격" 또는 "목록 기반 계정 해킹"이라고도 합니다.
공격자는 일반적으로 안전하지 않은 웹사이트나 시스템에서 이러한 ID-비밀번호 목록을 얻습니다. 예를 들어, 공격자가 도난한 자격 증명을 사용하여 전자 상거래 계정에 액세스하면 개인 정보를 훔치거나 저장된 신용 카드 정보를 오용할 수 있습니다. 비밀번호 목록 공격의 피해자는 승인되지 않은 출금이나 사기 거래로 인해 재정적 손실을 입을 수 있습니다.
비밀번호 목록 공격의 원인
- ID와 비밀번호 재사용: 많은 사용자가 여러 서비스에서 동일한 자격 증명을 재사용하기 때문에 공격자가 여러 계정을 손상시키기가 더 쉽습니다.
- 피싱 공격: 공격자는 피싱을 통해 자격 증명 목록을 얻을 수 있습니다. 피싱은 사용자를 속여 가짜이지만 믿을 만한 웹사이트에 자격 증명을 입력하게 하는 방법입니다.
다른 사이버 공격과의 차이점
비밀번호 목록 공격은 종종 다음 공격 유형과 혼동됩니다.
- 무차별 대입 공격: 가능한 모든 조합을 시도하여 체계적으로 비밀번호를 추측합니다.
- 사전 공격: 이름이나 문구 등 흔히 쓰이는 비밀번호나 단어 조합의 사전 정의된 라이브러리를 사용합니다.
- 비밀번호 스프레이 공격: 여러 계정에 동시에 로그인을 시도하기 위해 단일 비밀번호를 사용하면 계정 잠금 메커니즘을 피할 수 있습니다.
비밀번호 목록 공격은 무차별 대입 공격에 비해 계정당 로그인 시도 횟수가 적기 때문에 감지하기가 특히 어렵습니다.
실제 사건의 예
- QR 코드 결제 시스템: 2019년 7월, 일본의 QR코드 결제 서비스 '7pay'가 비밀번호 목록 공격이 연루된 것으로 의심되는 무단 접근으로 인해 재정적 피해를 입었고, 결국 서비스가 중단되었습니다.
- 은행 예금: 2020년 9월, NTT Docomo는 도난된 자격 증명을 사용하여 "Docomo 계정" 서비스를 통해 은행 계좌에서 사기성 인출 사건을 겪었습니다.
비밀번호 목록 공격의 영향
- 무단 출금 및 지불 사기: 도난당한 자격 증명으로 인해 은행 계좌에 대한 무단 접근이나 신용 카드 부정 사용으로 이어질 수 있습니다.
- 데이터 침해: 피해자는 민감한 개인 정보나 회사 정보가 유출되는 것을 경험할 수 있습니다.
- 소셜 미디어에서의 사칭: 소셜 미디어 계정에 대한 무단 접근은 가짜 게시물이나 메시지를 통해 평판이 손상되는 결과로 이어질 수 있습니다.
- 서비스 제공자의 법적 책임: 기업은 보안 조치가 미흡해 민사상, 형사상 책임을 져야 할 수 있으며, 이로 인해 막대한 피해 복구 비용이 발생할 수 있습니다.
- 대중의 신뢰 상실: 침해는 회사의 평판을 손상시키고 서비스에 대한 사용자의 신뢰를 떨어뜨릴 수 있습니다.
비밀번호 목록 공격 방지
개인과 조직 모두 이러한 공격을 방지하기 위한 전략을 구현해야 합니다.
- 자격 증명 재사용을 피하세요: 사용자는 각 서비스마다 고유한 ID와 비밀번호를 사용해야 하며, 서비스 제공자는 사용자에게 이러한 관행에 대해 교육해야 합니다.
- WAF로 로그인 시도 모니터링: 웹 애플리케이션 방화벽(WAF)을 사용하여 동일한 IP에서 여러 번 시도하거나 특이한 위치에서 로그인하는 등 의심스러운 로그인 활동을 감지합니다.
- 2단계 인증(2FA) 구현: 이메일로 일회용 비밀번호를 보내는 등의 추가 인증 단계를 추가하면 자격 증명이 손상된 경우에도 무단 액세스를 방지하는 데 도움이 됩니다.