암호 스프레이 공격이란?
암호 스프레이는 악성 인자가 다른 암호를 시도하기 전에 여러 계정에서 같은 암호를 사용하는 일종의 무차별 암호 대입 공격입니다. 암호 스프레이 공격이 성공하는 사례가 많은 이유는 많은 사용자가 "password" 또는 "123456" 등과 같이 간단하고 추측하기 쉬운 암호를 사용하기 때문입니다.
많은 조직에서는 일정 횟수 이상 로그인에 실패하면 계정이 잠깁니다. 암호 스프레이 공격은 하나의 암호로 여러 계정에 로그인을 시도하므로, 여러 암호를 한 계정에 무차별 대입할 때 일반적으로 발생하는 계정 잠금을 피하게 됩니다.
'스프레이'라는 단어에서 알 수 있듯이 암호 스프레이의 전형적인 특징은 하나의 계정이 아닌 수천 또는 수백만 명의 다른 사용자를 한 번에 대상으로 할 수 있다는 것입니다. 이 프로세스는 자동화되기도 하며, 장기간 실행하여 탐지를 피할 수 있습니다.
암호 스프레이 공격은 특정 조직의 애플리케이션 또는 관리자가 새 사용자에 대한 기본 암호를 설정할 때 발생하곤 합니다. SSO 및 클라우드 기반 플랫폼도 특히 취약할 수 있습니다.
암호 스프레이는 다른 유형의 사이버 공격보다 단순해 보일 수 있지만, 정교한 사이버 범죄 단체에서도 사용합니다. 예를 들어, 2022년 미국 사이버보안 및 인프라 보안국(CISA)은 국가가 후원하는 사이버 인자에 대한 경보를 발령하여 표적이 된 네트워크에 액세스하기 위해 사용하는 다양한 전술을 나열했으며, 여기에 암호 스프레이가 포함되었습니다.
암호 스프레이 공격은 어떻게 이루어지나요?
암호 스프레이 공격은 일반적으로 다음 단계를 따릅니다.
1단계: 사이버 범죄자가 사용자이름 목록을 사들이거나 직접 만듭니다
암호 스프레이 공격은 사이버 범죄자가 사용자이름 목록을 구매하는 것부터 시작합니다. 이는 다양한 조직에서 훔친 목록입니다. 다크 웹에서 판매되는 자격 증명은 150억 개가 넘는 것으로 추정됩니다.
또한 사이버 범죄자는 회사 이메일 주소가 따르는 형식(예: firstname.lastname@companyname.com)을 따르고, LinkedIn 또는 다른 공개 정보 출처에서 얻은 직원 목록을 사용하여 목록을 직접 만들 수 있습니다.
접근 방식을 표적화하면 더 나은 결과를 얻을 수 있으므로, 사이버 범죄자는 재무, 관리자, 최고 경영진과 같은 특정 직원 그룹을 표적으로 삼기도 합니다. 이들은 종종 SSO 또는 Google 자격 증명으로 Facebook에 로그인하는 기능처럼 연합 인증 프로토콜 사용하거나 다중 인증을 구현하지 않은 회사나 부서를 대상으로 합니다.
2단계: 사이버 범죄자가 일반적인 암호 목록을 구성합니다
암호 스프레이 공격은 일반 또는 기본 암호 목록을 통합합니다. 가장 흔한 암호가 무엇인지 알아내는 것은 비교적 간단합니다. 다양한 보고서나 연구에서 매년 게시하고 있으며, Wikipedia에는 가장 흔한 1만 개의 암호를 나열하는 페이지도 있습니다. 사이버 범죄자는 암호를 추측하기 위해 자체 조사를 수행하기도 합니다. 예를 들어, 표적 조직의 스포츠팀 이름이나 저명한 랜드마크를 사용하기도 합니다.
3단계: 사이버 범죄자는 다양한 사용자이름 및 암호 조합을 시도합니다
사이버 범죄자가 사용자이름과 암호 목록을 확보하면, 성공하는 조합을 찾을 때까지 시도하는 것이 목표입니다. 프로세스는 종종 암호 스프레이 도구로 자동화됩니다. 사이버 범죄자는 로그인 시도 제한 정책 또는 IP 주소 차단기의 영향을 받지 않도록 수많은 사용자이름에 대해 하나의 암호를 시도해본 다음, 목록의 다음 암호를 시도하여 프로세스를 반복합니다.
암호 스프레이 공격의 영향
공격자가 암호 스프레이 공격으로 계정을 액세스하면, 해당 계정에 훔칠 만한 중요한 정보가 포함되어 있거나 훨씬 더 중요한 데이터에 대한 액세스 권한을 얻기 위해 조직의 보안 장치를 더욱 약화할 수 있는 권한이 있길 바랄 것입니다.
암호 스프레이 공격이 성공한다면 조직에 막대한 피해를 줄 수 있습니다. 이를테면, 공격자가 합법적으로 보이는 자격 증명을 사용해 금융 계정에 액세스하여 사기성 구매를 할 수 있습니다. 이를 탐지하지 못한다면, 영향을 받은 사업체는 재정적인 부담을 지게 됩니다. 사이버 공격으로부터 회복하는 기간은 몇 개월 이상 걸릴 수 있습니다.
암호 스프레이는 조직의 재무에 영향을 줄 뿐만 아니라 속도를 크게 저하하거나 일상적인 운영에도 지장을 줄 수 있습니다. 회사 전체 악성 이메일은 생산성을 저해할 수 있습니다. 공격자가 비즈니스 계정을 탈취하면 개인 정보를 훔치거나, 구매를 취소하거나, 서비스 제공 날짜를 변경할 수 있습니다.
또한 평판에도 피해를 줄 수 있습니다. 이러한 방식으로 비즈니스가 침해된다면 고객은 해당 회사가 데이터를 안전하게 관리하지 못한다고 생각할 수 있습니다. 고객이 다른 비즈니스로 옮겨가면 추가적인 피해가 발생할 수도 있습니다.
암호 스프레이 사례
"은행이 암호 스프레이 공격을 받았을 때, 암호를 변경하라는 요청을 받았습니다. 악성 인자들은 은행 고객을 상대로 수백만 개의 사용자이름 및 암호 조합을 시도하였고, 유감스럽게도 저도 그 중 하나였습니다."
암호 스프레이와 무차별 대입
암호 스프레이 공격은 흔히 사용하는 몇 가지 암호를 사용하여 대량의 계정에 액세스하려고 시도합니다. 반면, 무차별 대입 공격은 암호를 추측하여 한 계정을 대상으로 무단 액세스를 시도하며, 잠재적인 대량 암호 목록을 사용하곤 합니다.
즉, 무차별 대입 공격은 각 사용자이름에 수많은 암호를 시도합니다. 암호 스프레이는 수많은 사용자이름에 한 암호를 시도합니다. 인증 공격을 수행하는 방식은 위와 같이 다릅니다.
암호 스프레이 공격의 신호
암호 스프레이 공격은 일반적으로 여러 계정에 걸쳐 잦은 인증 시도 실패가 발생하도록 합니다. 조직은 유효한 계정의 시스템 및 애플리케이션 로그인 실패에 대한 인증 로그를 검토하여 암호 스프레이 활동을 탐지할 수 있습니다.
암호 스프레이 공격의 주요 신호는 대개 다음과 같습니다.
- 단기간에 높은 로그인 활동량이 발생합니다.
- 활성 사용자의 로그인 시도 실패가 급증합니다.
- 존재하지 않거나 비활성 상태의 계정에 로그인 시도가 발생합니다.
암호 스프레이 공격을 예방하는 방법
조직은 다음 예방 조치에 따라 암호 스프레이 공격을 막아낼 수 있습니다.
강력한 암호 정책 구현
IT 팀이 강력한 암호를 사용하도록 하여 암호 스프레이 공격의 위험을
최소화할 수 있습니다. 여기서 강력한 암호를 만드는 방법에 관해 확인할 수
있습니다.
로그인 탐지 설정
IT 팀은 단기간에 단일 호스트에서 발생하는 여러 계정에 대한 로그인 시도
탐지를 구현해야 합니다. 이는 암호 스프레이 시도를 나타내는 명확한
지표이기 때문입니다.
강력한 잠금 정책 도입
도메인 수준에서 잠금 정책에 대한 적절한 임계값을 설정하면 암호
스프레이를 방어할 수 있습니다. 임계값은 공격자가 잠금 기간 내에 여러 번
인증을 시도하지 못할 정도로 낮게 설정하면서도, 합법적인 사용자가 단순
실수로 계정에 액세스하지 못하지는 않을 정도여야 합니다. 또한, 인증된
계정 사용자의 잠금을 해제하고 재설정하기 위한 명확한 프로세스가 있어야
합니다.
제로 트러스트 접근 방식 채택
제로 트러스트 접근법의 초석은 언제든지 주어진 작업을 완료하기
데 필요한 정보만 접근할 수 있도록 액세스를 제공하는 것입니다. 조직
내에서 제로 트러스트를 구현하는 것은 네트워크 보안을 위한 핵심 기여
요소입니다.
비표준 사용자이름 규칙 사용
이메일 이외의 다른 사용자이름에는 가장 일반적으로 사용되는 john.doe 또는
jdoe와 같은 명백한 사용자이름을 선택하지 않아야 합니다. SSO 계정과
비표준 로그인을 분리하는 것도 공격자를 피하는 방법입니다.
생체 인증 사용
일부 조직에서는 공격자가 영숫자 암호의 잠재적인 약점을 악용하지 못하게
하려고 생체 인식 로그인을 사용합니다. 공격자는 사용자와 함께 있지 않은
이상 로그인할 방법이 없습니다.
패턴 관찰
동시에 로그인을 시도하는 많은 양의 계정과 같이 의심스러운 로그인 패턴을
모든 보안 조치가 빠르게 식별할 수 있도록 합니다.
암호 관리 프로그램을 사용하면 유용할 수 있습니다
암호는 악성 인자로부터 중요한 정보를 보호하기 위한 것입니다. 그러나 오늘날 일반 사용자는 설정한 암호가 너무 많으므로, 모든 암호를 관리하기 어려울 수 있습니다. 특히, 각각의 자격 증명이 고유해야 하기 때문입니다.
일부 사용자는 관리의 편의를 위해 명백하거나 추측하기 쉬운 암호를 사용하는 실수를 합니다. 또한, 여러 계정에서 같은 암호를 사용하는 경우가 많습니다. 이것이 바로 암호 스프레이 공격에 취약한 암호 유형입니다.
최근 몇 년 동안 공격자의 역량과 도구는 상당히 발전했습니다. 오늘날 컴퓨터는 암호를 훨씬 더 빨리 추측할 수 있습니다. 공격자는 자동화를 통해 암호 데이터베이스 또는 온라인 계정을 공격하며, 성공에 특화된 기술과 전략을 터득했습니다.
Kaspersky Password Manager와 같은 암호 관리자를 사용하면 개인 사용자에게 도움이 될 수 있습니다. 암호 관리자는 복잡성과 길이를 결합하여 해독하기 어려운 암호를 제공합니다. 또한 각기 다른 로그인 정보를 기억해야 하는 부담을 없애고, 암호 관리자는 다른 서비스에 사용되는 암호가 반복되는지 확인하는 데 도움을 제공합니다. 개인이 고유한 자격 증명을 생성, 관리 및 저장할 수 있는 실용적인 솔루션입니다.
연관 제품: