계정 잠금 임계값을 설정하면 해커가 사용자 계정의 비밀번호를 추측하기 위해 무차별 대입 공격을 수행하는 것을 방지할 수 있습니다. 그러나 이제 해커들은 로그인 시도 잠금 설정을 우회하기 위해 비밀번호 스프레이 공격을 점점 더 많이 사용하고 있습니다.
기존의 무차별 대입 공격에 비해 비밀번호 스프레이 공격은 상대적으로 실행이 간단하고 탐지율도 낮습니다.
그렇다면 비밀번호 스프레이 공격은 실제로 무엇이고, 어떻게 작동하며, 어떻게 방지할 수 있으며, 비밀번호 스프레이 공격을 해결하려면 무엇을 해야 할까요? 알아 보자.
목차
비밀번호 스프레이 공격이란 무엇입니까?
비밀번호 스프레이 공격은 위협 행위자가 일부 비밀번호가 사용자 계정에 액세스하는 데 도움이 될 것으로 예상하여 조직의 여러 계정에 일반적으로 사용되는 비밀번호를 뿌리는 사이버 공격의 유형입니다.
해커는 회사의 여러 계정에 대해 일반적으로 사용되는 단일 비밀번호를 사용합니다. 첫 번째 시도에서 어떤 계정에도 액세스할 수 없으면 며칠 후 다른 비밀번호로 이동하여 비밀번호 스프레이를 수행합니다.
기업 계정에 액세스할 수 있을 때까지 이 과정을 반복합니다. 단일 계정에 대해 짧은 시간 동안 여러 개의 비밀번호를 사용하지 않기 때문에 로그인 시도 잠금 설정은 과도한 시도 실패로 인해 계정을 차단하지 않습니다.
기업 네트워크에 침투하면 악의적인 목적을 달성하기 위해 다양한 활동을 수행할 수 있습니다.
요즘 사용자는 여러 계정을 가지고 있습니다. 각 계정에 대해 강력한 비밀번호를 만드는 것은 비밀번호를 기억하는 것은 물론이고 번거로운 작업입니다.
따라서 많은 사용자는 프로세스를 더 쉽게 만들기 위해 쉬운 비밀번호를 만듭니다. 하지만 쉬운 비밀번호는 대중적이고 잘 알려져 있습니다. 누구나 가장 일반적인 비밀번호를 Google에서 검색하고 가장 많이 사용되는 비밀번호 목록을 얻을 수 있습니다. 이 시나리오는 비밀번호 스프레이 공격의 증가를 촉진했습니다.
디지털 업무공간 및 기업 네트워크 공급업체 시트릭스 위협 행위자가 2018년 10월 13일과 2019년 3월 8일 동안 비밀번호 스프레이 노력을 통해 회사 내부 네트워크에 액세스했음을 확인했습니다.
마이크로소프트도 검증된 비밀번호 250개 이상의 Office 365 고객을 대상으로 공격을 퍼붓고 있습니다.
비밀번호 스프레이 공격은 어떻게 작동하나요?
이미지 출처: 월암
성공적인 비밀번호 스프레이 공격의 3단계는 다음과 같습니다.
#1. 사용자 이름 목록 수집
비밀번호 스프레이 공격을 수행하는 첫 번째 단계는 조직의 사용자 이름 목록을 손에 넣는 것입니다.
일반적으로 회사에서는 사용자 이름에 대해 표준화된 규칙을 사용하여 사용자의 이메일 주소를 관련 계정의 기본 사용자 이름으로 만듭니다. 가장 일반적으로 사용되는 이메일 형식은 다음과 같으므로 사용자의 이메일 주소를 추측하는 데는 거의 노력이 필요하지 않습니다. [email protected].
위협 행위자는 회사 웹사이트, 직원의 LinkedIn 프로필 또는 기타 관련 온라인 프로필을 방문하여 사용자의 이메일 주소에 대해 알아볼 수도 있습니다.
또는 다크 웹에서 쉽게 사용할 수 있는 사용자 이름 목록을 구입할 수도 있습니다.
#2. 스프레이 비밀번호
사용자 이름 목록이 있으면 “가장 일반적인 비밀번호 목록”을 찾습니다. Google 및 Bing 검색을 통해 해커에게 특정 연도의 일반적인 비밀번호 목록을 신속하게 제공할 수 있습니다. 성공 가능성을 높이기 위해 해커는 사용자의 지리적 위치에 따라 일반적으로 사용되는 비밀번호 목록을 조정할 수 있습니다.
예를 들어, 인기 있는 스포츠 팀/선수, 문화 활동, 음악 등을 고려할 수 있습니다. 조직이 시카고에 기반을 두고 있는 경우 해커는 Chicago Bears와 일반적으로 사용되는 비밀번호를 결합하여 비밀번호를 유포할 수 있습니다.
여러 계정에 단일 비밀번호를 스프레이한 후 계정 잠금을 피하기 위해 다음 스프레이 공격을 시작하기 전에 최소 30~50분을 기다립니다.
해커는 다양한 자동화 도구를 사용하여 스프레이 프로세스를 자동화할 수 있습니다.
#삼. 계정에 액세스하세요
스프레이 공격이 성공하면 공격자는 사용자 계정에 접근할 수 있게 됩니다. 공격자는 손상된 계정의 권한을 기반으로 맬웨어 설치, 민감한 데이터 도용, 사기 구매 등 다양한 악의적인 활동을 수행할 수 있습니다.
또한 공격자가 회사 네트워크 내부에 들어갈 수 있다고 가정해 보겠습니다. 이 경우 측면 이동을 통해 네트워크를 더 깊이 파고들어 고가치 자산을 검색하고 권한을 높일 수 있습니다.
비밀번호 스프레이 vs. 크리덴셜 스터핑 vs. 무차별 대입 공격
이미지 출처: 클라우드플레어
비밀번호 크리덴셜 스터핑 공격에서 위협 행위자는 한 조직에서 훔친 자격 증명을 사용하여 다양한 플랫폼의 사용자 계정에 액세스합니다.
위협 행위자는 많은 사람들이 동일한 사용자 이름과 비밀번호를 사용하여 여러 웹사이트에서 자신의 계정에 액세스한다는 사실을 이용합니다. 데이터 침해 사고 증가로 인해 더 많은 로그인 자격 증명이 노출됨에 따라 해커는 이제 자격 증명 스터핑 공격을 수행할 수 있는 기회가 더 많아졌습니다.
반면, 무차별 대입 공격은 시행착오를 통해 비밀번호와 로그인 자격 증명을 해독합니다. 사이버 범죄자는 다양한 조합을 테스트하여 올바른 비밀번호를 추측하려고 합니다. 그들은 프로세스 속도를 높이기 위해 무차별 공격 도구를 사용합니다.
로그인 시도 잠금 설정은 무차별 대입 공격을 방지할 수 있습니다. 시스템이 짧은 시간 내에 너무 많은 로그인 시도 실패를 감지하면 문제의 계정이 차단되기 때문입니다.
비밀번호 스프레이 공격에서 해커는 조직의 여러 계정에 대해 일반적으로 사용되는 단일 비밀번호를 시도합니다. 위협 행위자는 단시간에 단일 계정에 다양한 비밀번호를 시도하지 않기 때문에 비밀번호 스프레이 공격으로 인해 로그인 시도 잠금 설정이 무시될 수 있습니다.
비밀번호 스프레이가 회사에 미치는 영향
성공적인 비밀번호 스프레이 공격이 회사에 미치는 영향은 다음과 같습니다.
- 위협 행위자는 조직의 계정에 무단으로 액세스함으로써 민감한 정보, 재무 기록, 고객 데이터 및 영업 비밀을 노출할 수 있습니다.
- 위협 행위자는 손상된 계정을 사용하여 사기 거래, 무단 구매를 하거나 비즈니스 계정에서 돈을 빼돌릴 수도 있습니다.
- 해커가 회사의 사용자 계정에 무단으로 액세스하면 중요한 데이터를 암호화하고 암호 해독 키를 대가로 몸값을 요구할 수 있습니다.
- 비밀번호 스프레이 공격은 데이터 유출로 이어질 수 있으며, 이로 인해 회사의 재정적 손실과 평판 손실을 초래할 수 있습니다. 데이터 침해 사고는 고객의 신뢰를 침식할 가능성이 높습니다. 결과적으로 그들은 자신의 사업을 경쟁사에게 가져갈 수 있습니다.
- 데이터 유출에 대응하고, 법률 자문을 구하고, 외부 사이버 보안 전문가를 고용하려면 리소스가 필요합니다. 따라서 비밀번호 스프레이를 사용하면 상당한 리소스 소모가 발생합니다.
간단히 말해서, 성공적인 비밀번호 스프레이 공격은 비즈니스의 다양한 측면에 연쇄적인 영향을 미칠 것입니다. 여기에는 재정적, 운영적, 법적, 평판적 결과가 포함될 수 있습니다.
비밀번호 스프레이 공격을 탐지하는 방법
비밀번호 스프레이 공격의 주요 징후는 다음과 같습니다.
- 짧은 시간에 많은 양의 로그인 활동이 감지되었습니다.
- 짧은 시간 내에 여러 계정에 대해 거부된 비밀번호의 양이 많습니다.
- 비활성 또는 존재하지 않는 사용자의 로그인 시도를 관찰합니다.
- 알려진 사용자 위치와 지리적으로 일치하지 않는 IP 주소에서 로그인 시도가 있습니다.
- 이상한 시간이나 업무 시간 외에 여러 계정에 액세스하려는 시도가 있습니다. 그리고 한 번에 하나의 비밀번호가 해당 계정에 로그인하는 데 사용됩니다.
비밀번호 스프레이 공격을 탐지하려면 유효한 계정의 시스템 및 애플리케이션 로그인 실패에 대한 인증 로그를 검토해야 합니다.
해커가 비밀번호 스프레이 공격을 시도하고 있다고 의심되는 경우 따라야 할 조치 사항은 다음과 같습니다.
- 직원들에게 모든 암호를 즉시 변경하고 지금까지 수행하지 않은 사람이 있으면 MFA를 활성화하도록 지시하십시오.
- EDR(엔드포인트 탐지 및 대응) 도구를 배포하여 회사 엔드포인트에서 악의적인 활동을 추적하면 비밀번호 스프레이 공격이 발생할 경우 해커의 측면 이동을 방지할 수 있습니다.
- 데이터 도난 또는 데이터 암호화의 징후를 확인하고 모든 계정이 안전한지 확인한 후 백업에서 데이터를 복원할 계획을 세우십시오. 데이터를 보호하기 위해 데이터 보안 솔루션을 배포하세요.
- 여러 시스템에서 실패한 로그인 시도를 식별할 수 있도록 보안 제품의 민감성을 강화하십시오.
- 이벤트 로그를 검토하여 무슨 일이 일어났는지, 언제 발생했는지, 어떻게 발생했는지 파악하여 사고 대응 계획을 개선하세요.
해커는 자신의 권한을 높이기 위해 소프트웨어 취약점을 악용하려고 합니다. 따라서 직원들이 모든 소프트웨어 업데이트와 패치를 설치했는지 확인하십시오.
비밀번호 스프레이 공격을 방지하는 방법
다음은 해커가 비밀번호 스프레이 공격을 통해 사용자 계정에 액세스하는 것을 방지하는 몇 가지 전략입니다.
#1. 강력한 비밀번호 정책을 따르세요
비밀번호 스프레이 공격은 추측하기 쉬운 취약한 비밀번호를 대상으로 합니다. 강력한 비밀번호 정책을 구현하면 직원은 해커가 온라인에서 추측하거나 찾을 수 없는 강력하고 복잡한 비밀번호를 만들게 됩니다. 결과적으로 조직의 사용자 계정은 비밀번호 스프레이 공격으로부터 보호됩니다.
비밀번호 정책에 통합해야 하는 핵심 사항은 다음과 같습니다.
- 비밀번호는 대문자, 소문자, 특수문자를 포함하여 12자 이상이어야 합니다.
- 비밀번호 거부 목록이 있어야 합니다. 즉, 사용자는 비밀번호에 생년월일, 출생지, 직위 또는 사랑하는 사람의 이름을 포함해서는 안 됩니다.
- 모든 비밀번호는 일정 기간이 지나면 만료되어야 합니다.
- 모든 사용자는 서로 다른 계정에 대해 서로 다른 비밀번호를 만들어야 합니다.
- 로그인 시도가 여러 번 실패할 경우 사용자 계정을 차단하기 위한 계정 잠금 임계값이 있어야 합니다.
좋은 비밀번호 도구를 구현하면 사용자가 강력한 비밀번호를 생성하고 가장 일반적인 비밀번호를 사용하지 않도록 도울 수 있습니다.
최고 수준의 비밀번호 관리자는 데이터 유출로 인해 비밀번호가 노출되는지 확인하는 데 도움을 줄 수 있습니다.
#2. 다단계 인증(MFA) 시행
다단계 인증(MFA)은 계정에 추가적인 보안 계층을 추가합니다. MFA를 활성화하면 사용자는 온라인 계정에 대한 액세스 권한을 부여하기 전에 사용자 이름과 비밀번호 외에 하나 이상의 확인 요소를 제출해야 합니다.
회사에서 다단계 인증을 구현하면 무차별 대입 공격, 사전 공격, 비밀번호 스프레이 공격 및 기타 유형의 비밀번호 공격으로부터 온라인 계정을 보호할 수 있습니다. 이는 위협 행위자가 SMS, 이메일 또는 비밀번호 인증 앱을 통해 전송된 추가 확인 요소에 접근할 수 없기 때문입니다.
또한 다단계 인증을 통해 온라인 계정의 키로거 공격을 방지할 수 있습니다.
#삼. 비밀번호 없는 인증 구현
비밀번호 없는 인증은 생체 인식, 매직 링크, 보안 토큰 등을 활용하여 사용자를 인증합니다. 계정에 액세스하는 데 비밀번호가 사용되지 않으므로 해커는 비밀번호 스프레이 공격을 수행할 수 없습니다.
따라서 비밀번호 없는 인증은 대부분의 비밀번호 공격을 방지할 수 있는 완벽한 방법입니다. 회사의 계정을 보호하기 위해 이러한 비밀번호 없는 인증 솔루션을 탐색할 수 있습니다.
#4. 시뮬레이션 공격을 수행하여 테스트 준비
시뮬레이션된 비밀번호 스프레이 공격을 수행하여 비밀번호 스프레이 공격에 맞서기 위한 직원의 준비 상태를 확인해야 합니다. 이를 통해 귀하의 비밀번호 보안 상태를 더 잘 이해하고 회사의 비밀번호 보안을 강화하는 데 필요한 조치를 취할 수 있습니다.
#5. 로그인 감지 도구를 마련하세요
의심스러운 로그인 시도를 감지하려면 실시간 감사 도구를 설정해야 합니다. 올바른 도구는 짧은 시간 동안 단일 호스트에서 여러 계정에 대한 의심스러운 로그인 시도, 여러 비활성 계정에 대한 로그인 시도, 업무 시간 이외의 수많은 로그인 시도 등을 식별하는 데 도움이 될 수 있습니다.
의심스러운 로그인 활동을 발견하면 교정 조치를 취하여 계정에 대한 무단 액세스 시도를 차단할 수 있습니다. 이러한 작업에는 손상된 계정 차단, 파이어볼 설정 변경, 다단계 인증 활성화 등이 포함될 수 있습니다.
#6. 직원 교육
직원은 비밀번호 스프레이 공격으로부터 사용자 계정을 보호하는 데 중요한 역할을 합니다. 직원이 강력한 비밀번호를 생성하고 계정에 다단계 인증을 활성화하지 않으면 모든 기술적 보안 제어 기능이 아무리 우수해도 작동하지 않습니다.
따라서 사이버 보안 인식 프로그램을 정기적으로 실행하여 직원들에게 다양한 비밀번호 공격과 이를 방지하는 방법을 교육하십시오. 충분히 복잡한 비밀번호를 만드는 방법을 알고 있는지 확인하세요.
결론
비밀번호 스프레이 공격은 계정 손상, 데이터 유출, 향후 사이버 보안 공격을 포함하여 회사에 심각한 피해를 초래할 수 있습니다. 따라서 회사에서는 비밀번호 보안을 강화해야 합니다.
엄격한 비밀번호 정책 시행, MFA 구현, 비밀번호 없는 인증 채택, 로그인 감지 도구 마련, 직원 교육을 통해 비밀번호 스프레이 공격을 예방할 수 있습니다.
또한 회사의 사용자 이름 규칙을 선택할 때 창의력을 발휘해야 합니다. 평소 사용하던 것을 중지하세요.[email protected].
회사의 계정 보안을 강화하려면 비밀번호 없는 인증을 위한 매직 링크 플랫폼을 살펴보세요.