누구나 대부분 온라인 보안의 좋은 습관에 대해 알고 있습니다. 그러나 이 지식을 최대한 활용하지 못하여, 사전 공격에 취약한 상태에 빠지곤 합니다. 온라인 계정을 보호해야 한다는 것을 알고 있음에도, 사람들은 강력한 암호 생성과 같은 간단한 가이드라인을 따르지 못합니다. 실제로 Google 연구에 따르면 약 65%의 사용자가 암호를 재사용하는 것으로 나타났습니다. 또한 59%는 암호에 애완동물 이름, 생일 등 쉽게 맞추거나 알아낼 수 있는 개인 정보를 사용합니다.
사람들은 매우 쉽게 해독할 수 있는, 간단하고 뻔한 암호를 사용하곤 합니다. 여러 연구에서 '123456', 'qwerty' 등 키보드의 연속된 문자열과 'Password', 'iloveyou', 'welcome'과 같은 문구를 가장 흔하게 사용하며, 데이터 유출 사례에서도 빠지지 않고 등장한다는 사실이 드러났습니다.
즉, 사람들이 사전 공격 예방을 진지하게 생각하지 않아, 이러한 공격이 빈번하게 자행되고, 또 성공합니다.
사전 공격: 정의
가장 간단한 형태의 사전 공격은 무차별 대입 공격의 유형으로 해커들이 흔하게 사용되는 단어, 문구와 숫자 조합의 목록을 빠르게 시도해보며 사용자의 온라인 계정 암호를 맞춰보는 것입니다. 사전 공격으로 암호 해독에 성공했다면, 해커는 이를 이용하여 은행 계좌, SNS 프로필, 그리고 암호로 보호된 파일까지도 접근할 수 있습니다. 이렇게 되면 피해자에게도 실제 문제가 생기게 됩니다.
사전 공격은 어떻게 이루어지나요?
이러한 유형의 해킹은 체계적인 접근법을 사용하여 암호를 해독합니다. 이러한 해킹은 기본적으로 3단계로 진행되며, 이를 이해한다면 사전 공격 예방 방법을 아는 데 도움이 될 수 있습니다.
- 보통 공격자는 사전에 정의된 잠재적 암호 목록, 즉 무차별 대입 사전을 만들어 인기 있는 단어와 숫자 조합을 사용합니다.
- 자동화된 소프트웨어는 이러한 무차별 대입 사전을 사용하여 온라인 계정 해킹을 시도합니다.
- 사전 공격으로 취약한 계정의 해킹에 성공했다면, 해커는 해당 프로필에 저장된 모든 민감한 데이터를 개인적인 이득을 위해 사용합니다. 이는 사기 행각이나 악의적 행위, 또는 단순히 금전적 이득을 위해 계정에 접근하는 것일 수 있습니다.
잠재적 암호 목록을 취합하기 위해서 공격자는 일반적인 애완동물 이름, 잘 알려진 대중문화 인물, 주요 스포츠팀과 선수 등을 자주 사용합니다. 이는 많은 사람이 이러한 유형의 단어로 자신에게 의미 있고 쉽게 기억할 수 있는 암호를 만들기 때문입니다. 이 목록은 일반적으로 이러한 단어에 다른 조합이나 특수문자를 추가한 변형을 포함하고 있습니다.
또한, 자동화된 도구로 이 목록을 실행하면 사전 공격이 더 쉬워집니다. 암호 목록과 자동화된 도구를 동시에 사용하면 암호를 해독하고 온라인 계정에 해킹하는 시도를 훨씬 빠르게 진행할 수 있습니다. 수동으로 공격한다면 시간이 너무 오래 걸리는 데다, 계정 소유자나 시스템 관리자에게 공격을 인식하고 방어할 수 있는 시간을 주게 됩니다.
사전 공격의 작동 방식 때문에 이 공격은 개인을 대상으로 하지 않을 때가 더 많습니다. 대신에, 목록에 있는 암호 중에 하나는 맞을 거라는 막연한 기대로 진행합니다. 그러나 특정 장소나 기관을 대상으로 한다면, 공격자가 더 특정적이고 편재된 단어 목록을 만듭니다. 이를테면, 스페인에서 공격을 실행할 계획이라면 영어가 아닌 흔한 스페인어를 사용할 수 있습니다. 또는, 특정 기관을 겨냥한다면 회사와 연관된 단어를 사용할 수 있습니다.
사전 공격과 무차별 대입: 차이점은?
사전 공격은 무차별 대입 공격의 한 유형이지만 둘 사이에는 중요한 차이점이 있습니다. 사전 공격은 사전 정의한 단어 목록을 사용해 계정 암호 해독을 체계적으로 시도하지만, 무차별 대입 해킹은 목록을 사용하지 않고 암호를 제작하는 데 사용될 수 있는 모든 임의의 문자, 기호, 숫자 조합을 시도해 봅니다. 이처럼 일반적으로 사전 공격이 훨씬 더 효과적이고 성공할 확률이 더 높습니다. 단순히 시도해야 하는 조합이 훨씬 적기 때문입니다.
알파벳 26자 및 숫자 10자리, 총 36개의 문자가 무차별 대입 공격에 성공하기 위해 시도해야 하는 모든 조합 가능한 수 자체가 거의 비현실적입니다. 예를 들어, 무차별 대입 공격이 10자리 암호를 해킹하려면 3조 7,600억 개의 잠재적인 영숫자 암호를 실행해야 합니다.
반면, 무차별 대입 공격의 이점은 시행착오 접근 방식을 통해 어렵고 독창적인 암호를 해독할 가능성이 더 높다는 것입니다. 잠재적 암호의 목록을 포괄적으로 실행하므로, 결국에는 모든 암호의 알맞은 문자 조합을 발견할 확률이 높습니다.
사전 공격을 예방하는 방법
사전 공격이 무엇인지, 어떻게 작동하는지 이해하는 것이 예방을 향한 한 걸음입니다. 사전 공격 예방에 신중한 사용자들은 다음 팁이 도움될 수 있습니다.
- 가능한 경우 암호 사용 피하기: 사전 해킹을 예방할 수 있는 가장 쉽고 확실한 방법은 암호 사용 자체를 없애는 것입니다. 암호가 없는 인증 솔루션이나 생체 인식 로그인을 사용할 수 있다면 이 방식으로 계정을 보호하세요.
- 임의 암호 사용: 생일, 애완동물 이름 또는 쉽게 발견할 수 있는 다른 정보처럼 개인 정보를 적용한 암호를 설정하는 것을 피해야 합니다. 암호 관리자가 안전한 형식으로 암호를 생성, 저장 및 입력할 수 있도록 도와줄 수 있습니다.
- 예측 가능한 암호 피하기: 놀라게도 많은 사람들은 "Password123" 또는 "abcd1234"와 같이 기본적이고 해킹하기 쉬운 단어와 숫자 조합을 암호로 사용합니다. 사전 공격은 맞추기 쉬운 암호를 해독하는 데 특화되었으므로, 이러한 암호는 해킹에 취약합니다.
- 암호 문구 생성: 단어 및 숫자 조합을 암호로 선택하는 대신에 계정 접근을 위한 하나의 문장을 만들어야 합니다. 맞추기 훨씬 어렵지만, 사용자들이 기억하기에는 더 쉬운 편입니다. 이를테면, 미식축구를 좋아하는 사람이라면 "나는 Patriots의 라인배커가 되고 싶어"라는 문구를 사용할 수 있습니다. 암호 문구를 더욱 안전하게 만들려면, 임의의 숫자, 문자 및 대문자를 추가하여 “IW@nT2B@L!n3B@ckER4THEPatr!0tS!”로 쓰는 것입니다.
- 이중 인증 사용: 로그인마다 이중 또는 그 이상의 인증 요소를 요구하도록 계정을 설정해야 합니다. 이를테면, 암호, 인증 앱이 생성하는 일회성 암호, 지문을 사용할 수 있습니다.
- 인증 앱 사용: 될 수 있으면 암호 대신에 또는 암호와 함께 인증 애플리케이션을 사용해 보세요. 이러한 앱은 휴대폰에 쉽게 다운로드할 수 있고 특정 계정에 연동되어 로그인 시도마다 일회성 암호를 임의로 생성해 줍니다.
- 로그인 시도 제한: 이제 일부 웹사이트 및 앱은 특정 시간 내에 허용되는 로그인 시도 횟수를 제한합니다. 해당 옵션을 이용할 수 있다면, 계정마다 활성화하여 사전 공격을 예방합니다.
- 강제 초기화: 사전 해킹은 암호 해독을 수차례 시도합니다. 암호를 특정 횟수만큼 틀리면 암호를 강제 초기화하여 공격의 성공 가능성을 최소화해야 합니다. 계정에 자동으로 적용할 수 있는 옵션이 아니라면, 로그인 시도 실패 시 온라인 계정에 이메일을 보내도록 온라인 계정을 허용하는 더 수동적인 옵션을 추가할 수 있습니다. 누군가가 계정에 접근하려 한다는 알림을 받으면, 특히 이러한 알림이 연속으로 빠르게 여러 개가 온다면, 안전 보장을 위해 로그인하여 암호를 변경할 수 있습니다.
- 특정 단어 사용 피하기: 모든 암호에 흔한 단어를 사용하는 것을 피한다면 계정 보안 보호에 한 층을 더할 수 있습니다.
암호 관리자는 사전 공격 예방에 도움이 되나요?
암호 관리자는 계정 정보를 안전하게 관리하고 사전 공격의 피해 가능성을 최소화하는 데 유용한 방법일 수 있습니다. Kaspersky Password Manager와 같은 앱은 암호를 안전하게 지키는 데 도움이 되는 다양한 이점을 제공합니다. 사용해야 하는 이유는 다음과 같습니다.
- 하나의 암호만 사용: 암호 관리자를 사용하면 마스터 암호 하나만 기억하여 계정에 로그인하고 개별 계정의 다른 로그인을 모두 관리할 수 있습니다.
- 강력한 임의 암호 생성: 이러한 프로그램은 대개 매우 강력하고 임의로 생성된 암호를 만들어 줍니다. 일반적인 단어나 문구를 사용하지 않아, 일반적으로 사전 해킹에 안전합니다. 물론, 무차별 대입 공격은 여전히 성공할 수도 있습니다.
- 계정에 쉽게 액세스: 암호 관리자는 개별 계정마다 로그인 정보를 안전하게 저장할 수 있는 기능을 제공하기도 하며, 웹사이트, 계정, 앱 등에 로그인하려 할 때 이러한 정보를 자동으로 채워줍니다.
- 안전한 암호 공유: 친구, 가족 및 동료와 함께 계정 암호를 공유해야 한다면, 암호 관리자는 액세스도 관리하면서 사용자들이 안전하게 암호를 공유할 수 있도록 해줍니다.
- 안전한 스토리지 사용: 이제 개인 문서, 의료 기록 및 사진을 암호화된 형식으로 저장하여 모든 민감한 데이터의 보안을 지켜주는 암호 관리자도 많습니다.
사전 공격 예방 조치 취하기
사전 공격은 해커들이 은행 계좌, SNS 프로필, 이메일 등 개인의 계정에 접근하는 데 사용하는 매우 흔한 유형의 사이버 범죄입니다. 해커는 이를 통해 금융 사기부터 피싱처럼 추가 사이버 범죄에 이르는 악의적인 SNS 포스팅에 이르기까지 각종 행위를 자행할 수 있습니다. 그러나 특정 안전 조치를 취하는 것만으로도 이러한 공격의 피해자가 되는 위험을 최소화하고 사전 공격을 간단히 예방할 수 있습니다. 이를테면, 현명한 암호 관리 습관을 가지고, 다양한 종류의 인증을 사용하며, 시중의 암호 관리자를 사용하면 암호와 계정을 보호하는 데 도움이 될 수 있습니다.
Kaspersky Endpoint Security는 2021년 기업용 엔드포인트 보안 제품 부문에서 최고 성능, 최우수 보호, 최우수 사용성 등으로 AV-TEST에서 세 차례나 수상했습니다. 모든 테스트에서 Kaspersky Endpoint Security는 기업을 위한 뛰어난 성능, 보호 및 사용성을 보여주었습니다.
연관 제품 및 서비스: