사이버 공격에 대해 이야기할 때마다 공격자가 피해자 네트워크에 액세스하는 세 가지 기본적인 방법이 있습니다:
피싱: 공격자는 이메일이 네트워크에 논리적으로 침투할 수 있는 특성을 이용하며, 공격이 엔드포인트 감염에 성공하면 이를 발판으로 삼아 네트워크에 침투할 수 있습니다.
취약점: 공격자는 제로데이 또는 알려진 취약점(패치되지 않은 취약점)을 사용하여 시스템 및 애플리케이션에 대한 상승된 권한을 얻고 이를 활용하여 네트워크의 나머지 부분에 액세스할 수 있습니다.
RDP/원격 액세스: 공격자는 손상된 자격 증명이나 무차별 대입 비밀번호 공격을 네트워크에 들어가는 통로로 이용합니다.
기업은 보통 위의 처음 두 가지 공격 벡터에 집중합니다. 세 번째 공격 경로를 논의할 때는 일반적으로 RDP 자체보다 공격자가 원격 로그온 세션에 진입한 뒤 인증이 얼마나 취약한지에는 상대적으로 덜 주목합니다.
따라서 이 문서에서는 공격자가 원격 액세스 세션(RDP이든 다른 형태이든, 이하 통칭하여 원격 액세스)을 발견해 이용할 때 어떤 일이 발생하는지 살펴보고자 합니다.
또한 자격 증명을 손상시키는 데 사용되는 무차별 대입 공격 방식과 그 확산 정도, 왜 사용자가 실제로 공격자의 공격을 더 쉽게 만들고 있는지, 그리고 이에 대해 무엇을 할 수 있는지 살펴봅니다.
무차별 대입 공격이란 무엇입니까?
무차별 대입 공격은 공격자가 시행착오를 통해 사용자의 비밀번호, 로그인 자격증명 또는 암호화 키를 추측하거나 해독하는 사이버 공격의 한 유형입니다. 이 공격 방법은 사용자의 계정, 시스템 또는 네트워크에 무단으로 액세스하기 위해 가능한 모든 문자, 숫자 및 특수 문자의 조합을 체계적으로 시도하는 것입니다.
무차별 대입 공격은 수동 또는 자동화된 소프트웨어 도구를 사용하여 수행할 수 있어 해커들 사이에서 인기가 높습니다.
무차별 대입 공격의 유형
무차별 대입 공격에는 다음과 같은 여러 유형이 있습니다:
단순 무차별 대입 공격: 문자, 숫자, 특수 문자의 가능한 모든 조합을 시도하여 사용자의 비밀번호를 알아내는 방식입니다.
역방향 무차별 대입 공격: 공격자는 알려진 비밀번호로 시작하여 일치하는 사용자 아이디를 찾으려고 시도합니다.
사전 공격: 공격자는 사용자의 비밀번호를 추측하기 위해 단어, 구문 및 일반적인 비밀번호 목록을 시도합니다.
하이브리드 무차별 대입 공격: 이 공격 유형은 사전 공격과 기존의 무차별 대입 공격을 결합한 공격입니다.
자격 증명 스터핑: 도난당한 사용자 이름과 비밀번호 목록을 사용하여 여러 계정에 무단으로 액세스하는 것을 포함합니다.
무차별 대입 공격의 동기
무차별 대입 공격의 동기를 이해하는 것은 위험을 평가하고 효과적인 보안 조치를 구현하는 데 필수적입니다. 사이버 범죄자들은 목적 없이 행동하는 경우는 거의 없습니다. 금전적 이득, 스파이 활동 또는 운영 방해가 그들의 목표인 경우가 많습니다. 예를 들어, 의료나 금융과 같이 민감한 데이터를 다루는 산업은 스파이 활동의 위험이 높으며, 소규모 기업은 제한된 IT 예산 때문에 랜섬웨어나 자격 증명 도용의 표적이 되기 쉽습니다.
다음은 공격자가 무차별 대입 전술을 사용하는 이유를 자세히 살펴본 내용입니다:
영리를 목적으로 한 자격증명 도용
무차별 대입 공격의 가장 일반적인 이유 중 하나는 사용자 이름과 비밀번호와 같은 사용자 인증 정보를 훔치기 위해서입니다. 이러한 인증 정보는 다크 웹 마켓플레이스에서 판매되거나 대규모 데이터 덤프의 일부로 판매되거나 중요한 시스템에 무단으로 액세스하는 데 사용될 수 있습니다. 예를 들어 공격자는 조직의 내부 시스템에 로그인 정보를 판매하여 다른 사람이 랜섬웨어나 데이터 도난과 같은 표적 공격을 실행할 수 있도록 할 수 있습니다.
랜섬웨어 배포
무차별 대입 공격은 랜섬웨어를 배포하기 위한 진입 지점으로 자주 사용됩니다. 공격자는 손상된 자격 증명을 통해 시스템에 액세스하여 중요한 데이터를 암호화하고 이를 해제하기 위해 몸값을 요구할 수 있습니다. 이러한 동기는 무차별 대입 공격에 취약한 원격 데스크톱 프로토콜(RDP) 또는 기타 원격 액세스 솔루션에 의존하는 원격 근무의 증가로 인해 더욱 증폭되었습니다.
스파이 활동 및 데이터 추출
무차별 대입 공격은 기업 또는 국가가 후원하는 스파이 활동과 관련된 동기를 가진 사이버 범죄자들이 사용합니다. 공격자는 이를 통해 네트워크에 침투하여 민감한 데이터를 추출할 수 있습니다. 공격자는 지적 재산, 영업 비밀 또는 기밀 정보를 표적으로 삼을 수 있습니다. 공격자들은 취약한 인증 방법을 사용하여 고가치 시스템에 액세스합니다.
시스템 중단
때로는 데이터나 돈을 훔치는 것이 목적이 아니라 조직의 운영을 방해하는 것이 목표가 되기도 합니다. 무차별 대입 공격은 시스템에 과부하를 일으키거나 다운타임을 유발하거나 고객의 신뢰를 약화시키기 위한 대규모 캠페인의 일부가 될 수 있습니다. 이러한 경우 공격자는 직접적인 금전적 이익을 얻기보다는 조직의 평판이나 역량을 손상시키는 것을 목표로 합니다.
보안 취약점 테스트 및 악용하기
무차별 대입 공격은 종종 정찰 도구로 사용됩니다. 공격자는 이를 사용하여 조직의 방어 체계를 조사하고 인증 시스템의 취약점을 파악할 수 있습니다. 이 정보는 더 정교하고 표적화된 공격을 만드는 데 사용될 수 있습니다.
여러 플랫폼에서 자격증명 재사용
많은 사람들이 여러 계정에 걸쳐 비밀번호를 재사용합니다. 이를 악용한 사이버 범죄자들은 무차별 대입 공격을 통해 하나의 계정뿐만 아니라 상호 연결된 서비스 네트워크 전체에 액세스합니다. 크리덴셜 스터핑으로 알려진 이 수법은 유출된 하나의 비밀번호가 광범위한 침해로 이어질 수 있는 경우에 특히 문제가 됩니다.
초기 액세스 브로커링
네트워크에 침입하여 다른 공격자에게 접속 권한을 판매하는 것을 전문으로 하는 사이버 범죄자인 초기 접속 브로커가 무차별 대입 공격을 수행하는 경우도 있습니다. 이러한 브로커는 취약한 인증 시스템을 사용하여 스파이 활동이나 랜섬웨어와 같은 대규모 공격을 수행하려는 자들에게 자격 증명을 판매합니다.
이러한 목표를 이해하면 인증 강화, 정기 보안 감사, 직원 교육 등 방어의 우선순위를 정하여 취약성을 효과적으로 완화하는 데 도움이 됩니다.
온라인 및 오프라인 무차별 대입 공격
무차별 대입 공격은 온라인과 오프라인의 두 가지 주요 범주로 나뉘며, 각각 고유한 문제를 야기합니다.
온라인 무차별 대입 공격
이러한 공격은 라이브 시스템이나 네트워크를 대상으로 합니다. 공격자는 자동화된 도구를 사용하여 비밀번호를 반복적으로 추측합니다. 이러한 공격은 실시간으로 발생하므로 단일 IP 주소에서 반복되는 로그인 실패와 같은 비정상적인 로그인 시도를 모니터링하여 탐지할 수 있습니다.
완화 전략에는 느린 시도에 대한 속도 제한, 봇을 차단하기 위한 캡차 챌린지, 보안을 강화하기 위한 멀티팩터 인증(MFA) 등이 있습니다.
오프라인 무차별 대입 공격
오프라인 공격은 라이브 시스템과 상호 작용하지 않고 탈취한 비밀번호 해시를 크래킹하는 방식으로 이루어집니다. 공격자는 강력한 도구를 사용하여 조합을 테스트하기 때문에 탐지가 어렵습니다.
방어 조치에는 솔티드 해시로 비밀번호 저장소를 보호하고 강력한 암호화를 사용하는 것이 포함됩니다. 정기적인 시스템 업데이트도 취약점을 패치하는 데 필수적입니다.
무차별 대입 공격이 문제가 되는 이유는 무엇입니까?
RDP가 사이버 공격에 연루되었다는 기사나 업계 통계를 볼 때마다, 공격 당시 공격자가 로그온에 사용할 수 있는 유효한 사용자 이름과 비밀번호를 보유하고 있었는지 여부를 염두에 두어야 합니다.
초기 접속 브로커의 경우처럼 공격자가 처음부터 시작하는 시나리오에서는 단순히 액세스 권한을 얻는 것뿐 아니라, 현재 공격에 사용하거나 초기 액세스 권한을 찾는 다른 공격자에게 다크웹에서 판매할 수 있는 유효한 자격 증명 세트를 확보하는 것도 목표입니다.
즉, 때로는 공격자가 특정 사용자 아이디에 연결된 비밀번호를 알아내기 위해 무차별 대입 비밀번호 공격을 사용해야 할 수 있습니다.
무차별 대입 공격 도구는 자격 증명을 추측하는 과정을 자동화하여 공격자가 더 빠르고 효율적으로 시도할 수 있도록 설계되었습니다.
사이버 범죄자가 사용하는 거의 모든 악의적 전술, 기법 및 절차를 설명하는 MITRE ATT&CK 프레임워크(‘ATTACK’으로 발음)에 따르면, 무차별 대입 공격 방법에는 네 가지 유형이 있습니다:
비밀번호 추측: 일반적인 비밀번호 목록을 바탕으로 반복적 또는 순환적 메커니즘을 사용해 비밀번호를 체계적으로 추측하는 방식입니다.
비밀번호 스프레이: 공격자가 사용자 아이디 목록을 확보한 후 모든 사용자 아이디에 동일한 비밀번호를 사용하여 로그인을 시도하는 경우입니다.
비밀번호 해독: 레인보우 테이블을 사용하거나 비밀번호를 추측하고 해시를 계산하여 비밀번호 해시를 해독합니다.
크리덴셜 스터핑: 관련 없는 계정의 침해 덤프에서 얻은 자격 증명을 사용하여 표적 계정에 액세스하는 행위입니다.
한 방법을 다른 방법보다 사용할지 여부는 주로 공격자가 피해자 네트워크에서 사용자 이름 및/또는 비밀번호를 알고 있는지 여부에 따라 결정됩니다.
그렇다면 무차별 대입 공격은 얼마나 널리 퍼져 있을까요?
영국의 사이버 보험사 Hiscox에 따르면, 사이버 보험 청구의 일부로 발생한 랜섬웨어 공격의 17%가 무차별 대입 공격으로 시작되었습니다. 이는 거의 5건 중 1건에 해당합니다. 또한 2022년에는 동남아시아에서 원격 근무자를 노린 4,700만 건의 공격과 같이 대규모 무차별 대입 공격도 확인되었습니다.
따라서 이는 여러 가지 이유로 매우 현실적인 문제입니다.
1. 취약한 비밀번호 소스가 무수히 많습니다.
추측, 스프레이 또는 스터핑 공격에 사용되는 비밀번호는 다양한 출처에서 유출되는 경우가 많습니다. 주요 출처 중 하나는 사용자 이름과 이메일 주소가 노출되는 데이터 유출입니다. 예를 들어, 2016년 5월에 발생한 LinkedIn 유출 사고로 1억 6,400만 개의 이메일 주소와 비밀번호가 유출되어 이러한 공격에 크게 기여했습니다.
또 다른 출처는 일반적으로 사용되는 비밀번호를 목록화한 탈취된 데이터베이스로, 그 중 상당수는 의외로 간단합니다(예: “P@ssw0rd!”). 또한 공격자는 특정 사용자에게 집중하여 취약하거나 예측 가능한 비밀번호를 찾을 가능성을 높임으로써 표적 추측 기회를 악용하는 경우가 많습니다.
Spycloud의 2023년 신원 노출 보고서에 따르면, 침해 사고로 수집된 유출된 비밀번호 중 700만 개 이상이 사랑이나 가족을 주제로 한 것입니다. (예: 배우자의 이름을 알고 있다면 거기서부터 추측을 시작할 수 있습니다). 이러한 공격은 취약하거나 일반적으로 사용되는 비밀번호를 악용하기 위해 다양한 비밀번호 조합을 체계적으로 테스트하는 경우가 많습니다.
2. 사용자 행동도 보안 위험에 기여합니다.
같은 Spycloud 보고서에 따르면 2022년 침해 사고의 72%는 이전에 노출된 비밀번호를 재사용했으며, 미국 사용자의 61%는 비밀번호를 재사용한 것으로 나타났습니다.
비밀번호 재사용 횟수 평균 13회. 그 이유 중 하나는 오늘날 사용자가 로그온을 유지해야 하는 시스템, 애플리케이션, 플랫폼의 수가 많기 때문입니다.소규모 기업의 경우 평균 85개의 비밀번호를 사용하는 반면, 대규모 기업의 경우 25개에 불과합니다.
복잡한 비밀번호를 사용하면 계정 보안이 크게 강화되어 공격자가 인증정보 탈취에 성공하기가 더 어려워집니다.
오늘날에는 컴퓨팅 성능의 발전으로 공격자가 무차별 대입 공격에서 초당 최대 10억 개의 비밀번호를 시험할 수 있으므로, 비밀번호 보안은 필수적입니다.
3. 원격 액세스는 공격자에게 무단 액세스를 위한 방법을 제공할 수 있습니다.
무차별 대입 공격은 무단 액세스를 위한 수단일 뿐이며, 실제 취약점은 하이브리드 인력이 기업 리소스에 참여하는 방식에 있으므로 원격 액세스도 논의에 추가해 보겠습니다.
일부 조직은 아직도 RDP에 의존하고 있습니다(사라졌어야 마땅한 보안 악몽 같은 프로토콜이지만 여전히 사라지지 않았습니다). 최근 보고서에서는 분석된 인시던트의 90%에서 사이버 범죄자가 RDP를 악용한 것으로 밝혀졌으며, 이는 RDP가 랜섬웨어 공격의 핵심 경로임을 보여 줍니다. RDP를 사용하지 않더라도 다른 원격 액세스 애플리케이션 역시 상당한 위험을 초래할 수 있으며, 데이터 침해의 16%는 RDP 또는 다른 원격 액세스 애플리케이션이 침해되면서 시작되었습니다.
즉, 모든 원격 액세스 방식은 사이버 범죄자의 공격 벡터가 될 수 있습니다. 조직의 50%가 원격 액세스 위험 완화에 매우 효과적이라고 평가하지 않는 상황에서, 원격 액세스를 효과적으로 보호하려면 단순한 비밀번호 사용을 넘어서는 더욱 강력한 인증 조치를 구현하는 것이 중요합니다.
무차별 대입 공격에 대한 예방 모범 사례
무차별 대입 공격을 방지하려면 강력한 정책, 기술적 보호 장치, 사용자 교육을 결합한 다층적 접근 방식이 필요합니다. 멀티팩터 인증(MFA)은 방어의 기반이지만, 보다 적극적인 보안 태세를 갖추려면 그 밖의 포괄적인 전략도 함께 구현해야 합니다. 무차별 대입 공격에 대비하는 방법은 다음과 같습니다:
강력한 비밀번호 정책 수립
강력한 비밀번호 정책은 모든 무차별 암호 대입 방지 전략의 기본입니다. 모든 사용자가 이러한 모범 사례를 준수하도록 하십시오:
길이와 복잡성: 비밀번호는 대문자와 소문자, 숫자, 특수 문자를 혼합하여 12자 이상이어야 합니다.
정기 업데이트: 비밀번호 만료 정책을 적용하여 공격자가 공격할 수 있는 기회를 제한하세요.
재사용 방지: 사용자가 이전 비밀번호를 재활용하지 못하도록 하는 시스템을 구현하세요.
일반적인 비밀번호 사용 금지: 도구를 사용하여 “123456” 또는 “password”와 같이 약하거나 쉽게 추측할 수 있는 비밀번호를 차단합니다.
보안 모니터링 도구 구현하기
실시간 모니터링 및 알림을 통해 무차별 대입 공격이 성공하기 전에 이를 감지하고 대응할 수 있습니다. 다음 도구를 배포하는 것을 고려하시기 바랍니다:
침입 탐지 및 방지 시스템(IDPS): Snort 또는 Suricata와 같은 도구는 비정상적인 로그인 시도를 감지하고 의심스러운 활동을 차단할 수 있습니다.
SIEM 솔루션: Splunk 또는 LogRhythm과 같은 보안 정보 및 이벤트 관리(SIEM) 시스템은 로그 데이터를 중앙 집중화하고 잠재적인 무차별 대입 활동에 대한 인사이트를 제공합니다.
계정 잠금 임계값: 특정 횟수만큼 로그인 시도가 실패하면 계정을 일시적으로 잠그도록 시스템을 구성합니다.
보안 관행에 대해 직원 교육하기
인적 오류는 공격자가 악용하는 일반적인 취약점입니다. 지속적인 교육을 제공하면 직원들이 위험을 인식하고 완화할 수 있는 역량을 갖추게 됩니다:
피싱 인식: 무차별 암호 대입 공격에 앞서 피싱 시도를 식별할 수 있도록 직원을 교육하십시오.
비밀번호 위생: 업무용 계정과 개인용 계정 모두에 고유하고 강력한 비밀번호의 중요성을 강조하십시오.
신고 프로토콜: 직원들이 의심스러운 로그인 시도나 시스템 동작을 즉시 신고하도록 장려하십시오.
기술 구성 활용
기술적 안전장치를 사용하면 공격자가 무차별 암호 대입 공격을 실행하기가 훨씬 더 어려워질 수 있습니다. 이러한 조치를 구현하십시오:
속도 제한: 로그인 시도가 연이어 실패하면 속도를 늦추거나 IP를 차단합니다.
캡차 통합: 로그인 페이지에 캡차 챌린지를 추가하여 자동 로그인 시도를 방지하십시오.
IP 화이트리스트: 특히 민감한 시스템의 경우 특정 IP 범위로 로그인 액세스를 제한할 수 있습니다.
비밀번호 암호화: 올바른 비밀번호 해시를 저장하려면 Argon2와 같은 강력한 암호화 알고리즘을 사용하십시오.
암호를 넘어선 원격 액세스
무차별 암호 대입 공격은 계속해서 심각한 위험을 초래하고 있지만, 사전 예방적 접근 방식과 예방 전략을 통해 그 영향을 크게 줄일 수 있습니다. 조직은 MFA(다단계 인증)를 구현하고, 강력한 비밀번호 정책을 시행하고, 고급 보안 도구를 활용하여 무단 액세스에 대한 강력한 방어 체계를 구축할 수 있습니다.
조직에서 RDP와 같이 오래되거나 더 취약한 원격 액세스 방법을 사용하는 경우에도 모든 로그인에 MFA를 요구하는 것은 중요한 첫 단계입니다. MFA 외에도 높은 암호화율 사용, 비밀번호 해시 솔팅, 로그인 시도 제한 설정, 반복적인 실패 후 CAPTCHA 챌린지 사용 등의 전략으로 무차별 암호 대입 공격이 성공하기 전에 차단할 수 있습니다.
또한 직원을 교육하고 의심스러운 활동을 모니터링하며 침입 탐지 시스템과 같은 도구를 배포하여 잠재적인 위협을 실시간으로 식별하는 것이 필수적입니다. 목표는 공격에 대응하는 것뿐만 아니라 공격이 현실화되는 것을 방지하는 것입니다.
이 글을 끝까지 읽으셨다면, 무차별 암호 대입 공격은 신중하고 계층화된 보안 조치로 완화할 수 있다는 점이 핵심입니다. 원격 액세스를 보호하고 조직을 보호하는 가장 간단하면서도 효과적인 방법 중 하나인 MFA부터 시작하시기 바랍니다. 방어를 강화하기 위해 더 이상 기다리지 마시고 지금 바로 조치를 취하십시오.
