매일 업데이트
2022-11-20 05:24 8 min
기술 뉴스

침투 테스트를 위한 11가지 무차별 대입 공격 도구

기업의 IT 시스템은 다양한 사이버 공격, 특히 무차별 대입 공격에 대해 견고하다는 것을 입증하기 위한 구체적인 증거 확보가 필수적입니다. 이는 온라인 비즈니스의 안전성을 확보하는 데 매우 중요합니다.

무차별 대입 공격이란 무엇일까요?

무차별 대입 공격은 가장 위협적인 사이버 공격 중 하나이며, 적절한 대응이 없을 경우 심각한 피해를 초래할 수 있습니다. 이 공격은 웹사이트의 핵심 기능, 장치의 보안, 로그인 비밀번호 또는 암호화 키를 목표로 합니다. 공격자는 지속적인 시행착오 방식을 사용하여 이러한 보안 요소들을 뚫으려 시도합니다.

무차별 공격 방법은 다음과 같이 다양하게 나타납니다:

  • 하이브리드 무차별 대입 공격: 미리 정의된 단어 목록, 사전 단어, 또는 임의로 생성된 단어들을 수없이 조합하여 시도합니다.
  • 역 무차별 대입 공격: 면밀한 조사를 통해 암호의 파생 키를 알아내려고 시도합니다.

침투 테스트 도구가 왜 필요할까요?

무차별 대입 공격자들은 목표 달성을 위해 다양한 도구를 사용합니다. 이러한 도구들은 침투 테스트에도 사용될 수 있으며, 이러한 테스트를 "모의 해킹" 또는 "펜 테스트"라고도 부릅니다.

침투 테스트는 실제 해커가 사용하는 방법과 동일한 방식으로 자체 IT 시스템을 공격하여 보안 취약점을 식별하는 과정입니다. 이를 통해 잠재적인 위협을 사전에 파악하고 대비할 수 있습니다.

참고: 다음 도구들은 애플리케이션 환경에 상당한 요청을 발생시킬 수 있으므로 사용에 주의해야 합니다.

고버스터

고버스터는 별도의 런타임 환경 없이도 매우 강력하고 빠른 무차별 대입 공격 도구 중 하나입니다. Go 언어로 개발된 디렉토리 스캐너로서, 해석된 스크립트보다 훨씬 빠른 속도와 유연성을 제공합니다.

특징:

  • 고버스터는 뛰어난 동시성 지원으로 여러 작업을 동시에 처리할 수 있어 처리 속도를 유지합니다.
  • Java GUI 없이 명령줄 인터페이스만으로 작동하는 경량 도구이며 다양한 플랫폼에서 사용할 수 있습니다.
  • 기본 도움말 기능을 제공하여 사용이 편리합니다.

모드:

  • dir: 전통적인 디렉토리 검색 모드
  • dns: DNS 하위 도메인 검색 모드
  • s3: 공개된 S3 버킷을 찾아 목록을 확인하는 모드
  • vhost: 가상 호스트 검색 모드

하지만, 재귀적인 디렉토리 검색 기능이 미흡하여 여러 단계의 디렉토리를 탐색할 때 효율성이 떨어지는 단점이 있습니다.

BruteX

BruteX는 목표 달성에 필요한 모든 기능을 갖춘 강력한 올인원 셸 기반 오픈 소스 무차별 대입 도구입니다.

  • 열린 포트 검색
  • 사용자 이름 무차별 대입
  • 비밀번호 무차별 대입

체계적인 방식으로 가능한 모든 암호 조합을 시도하는 기능을 제공합니다.

Nmap, Hydra, DNS enum 등 다른 도구에서 수집한 정보를 활용하여 열린 포트를 스캔하고, FTP, SSH 등의 서비스를 무차별 대입하며, 대상 서버에서 실행 중인 서비스를 자동으로 식별합니다.

더서치

더서치는 명령줄 기반의 고급 무차별 대입 도구입니다. 웹 경로 스캐너로서 웹 서버의 디렉토리와 파일을 무차별 대입할 수 있습니다.

Dirsearch는 최근 공식 Kali Linux 패키지에 포함되었으며 Windows, Linux 및 macOS에서도 실행 가능합니다. Python으로 작성되어 기존 프로젝트 및 스크립트와 호환성이 높습니다.

기존의 DIRB 도구보다 훨씬 빠른 속도와 다양한 기능을 제공합니다.

  • 프록시 지원
  • 멀티스레딩
  • 사용자 에이전트 무작위화
  • 다양한 확장자 지원
  • 스캐너 경기장
  • 요청 지연 기능

재귀 스캐닝 기능은 Dirsearch의 강점입니다. 크롤링을 통해 추가 디렉토리를 찾을 수 있습니다. 속도와 단순함을 모두 갖춰 침투 테스터에게 유용한 도구입니다.

캘로우

캘로우는 사용하기 쉽고 사용자 정의가 가능한 로그인 무차별 대입 도구입니다. Python 3으로 작성되었으며 초보자도 쉽게 사용할 수 있도록 설계되었습니다.

유연한 사용자 실험을 제공하여 쉬운 오류 처리 기능을 갖추고 있어 초보자가 쉽게 이해하고 사용할 수 있습니다.

SSB

보안 셸 Bruteforcer (SSB)는 SSH 서버를 무차별 대입 공격하는 데 사용되는 가장 빠르고 간단한 도구 중 하나입니다.

SSB는 SSH 서버의 암호를 해독하는 데 특화된 인터페이스를 제공합니다.

Thc-히드라

히드라는 Linux 또는 Windows/Cygwin에서 사용되는 가장 잘 알려진 로그인 크래킹 도구 중 하나입니다. 또한 Solaris, FreeBSD/OpenBSD, QNX(Blackberry 10) 및 macOS에서도 사용 가능합니다. AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY 등 다양한 프로토콜을 지원합니다.

Kali Linux에 기본적으로 설치되어 있는 Hydra는 명령줄 및 그래픽 버전을 모두 제공합니다. 단일 또는 사용자 이름/암호 목록을 사용하여 무차별 대입 공격을 수행할 수 있습니다.

시스템에 대한 무단 액세스 가능성을 원격으로 차단할 수 있는 매우 빠르고 유연한 도구이며, 병렬 처리 기능을 통해 효율성을 높였습니다.

다른 로그인 해킹 도구들도 비슷한 기능을 제공하지만, Hydra는 다양한 프로토콜과 병렬 연결을 지원한다는 점에서 차별화됩니다.

버프 스위트룸

버프 스위트 프로페셔널은 웹 보안 테스터를 위한 필수 툴킷으로, 빠르고 신뢰할 수 있는 기능을 제공합니다. 반복적인 테스트 작업을 자동화할 수 있으며, 전문가 수준의 수동 및 반자동 보안 테스트 기능을 제공합니다. 많은 전문가들이 OWASP 상위 10대 취약점을 테스트하는 데 사용합니다.

Burp는 스캔 범위 확장부터 다크 모드 지원까지 다양한 기능을 제공합니다. 최신 웹 애플리케이션, JavaScript, 테스트 API를 테스트하고 스캔할 수 있습니다.

이 도구는 해킹보다는 서비스 테스트를 위해 설계되었으며, 복잡한 인증 시퀀스를 기록하고 최종 사용자가 직접 사용하고 공유할 수 있도록 보고서를 생성합니다.

또한 다른 도구로는 찾기 어려운 숨겨진 취약점을 발견할 수 있는 대역 외 응용 프로그램 보안 테스트(OAST)를 수행할 수 있습니다. PortSwigger Research의 최신 기술을 활용할 수 있는 첫 번째 제품이기도 합니다.

파타토르

파타토르는 모듈식 설계로 다재다능하고 유연하게 사용할 수 있는 무차별 대입 도구입니다. 기존 도구 및 스크립트의 오류를 개선하여 새로운 접근 방식을 채택했습니다.

Python으로 개발된 Patator는 다중 스레드 도구로서 이전 버전보다 유연하고 안정적인 침투 테스트 환경을 제공합니다. 다양한 모듈을 지원하며, 다음을 포함합니다:

  • FTP
  • SSH
  • MySQL
  • SMTP
  • 텔넷
  • DNS
  • SMB
  • IMAP
  • LDAP
  • 로그인
  • Zip 파일
  • 자바 키 저장소 파일

Pydictor

Pydictor는 강력한 사전 기반 해킹 도구입니다. 초보자와 전문가 모두에게 인상적인 암호 강도 테스트 기능을 제공하며, 공격자에게 필수적인 도구입니다. 다양한 테스트 상황에서 강력한 성능을 제공합니다.

  • 지속적인 도우미 기능: 웹 콘텐츠를 사용하여 일반 단어 목록, 소셜 엔지니어링 단어 목록, 특수 단어 목록 등을 생성할 수 있습니다. 필터를 사용하여 단어 목록을 세분화할 수도 있습니다.
  • 높은 사용자 정의 기능: 길이별 필터, Leet 모드 및 기타 기능을 사용하여 단어 목록 속성을 사용자 정의할 수 있습니다.
  • 유연성 및 호환성: Windows, Linux 또는 Mac에서 원활하게 작동하며, 구성 파일을 분석할 수 있습니다.

Pydictor 사전 유형:

  • 숫자 사전
  • 알파벳 사전
  • 대문자 알파벳 사전
  • 대문자 알파벳과 결합된 숫자
  • 소문자 알파벳과 결합된 대문자
  • 소문자 알파벳과 결합된 숫자
  • 대문자, 소문자 및 숫자 조합
  • 정적 헤더 추가
  • 사전 복잡성 필터 조작

엔크랙

엔크랙은 빠른 속도를 자랑하는 네트워크 크래킹 도구입니다. 회사의 네트워크 장비의 취약한 암호를 테스트하는 데 유용하며, 많은 보안 전문가들이 시스템 네트워크 보안 감사를 위해 권장합니다. 독립 실행형 도구 또는 Kali Linux의 일부로 제공됩니다.

모듈식 접근 방식과 동적 엔진을 통해 네트워크 피드백에 따라 동작을 조정할 수 있으며, 많은 호스트에 대한 포괄적인 감사를 동시에 수행할 수 있습니다. Nmap과 유사하게 명령줄 인터페이스를 통해 사용할 수 있으며 사용자가 네트워크 운영을 완벽하게 제어할 수 있도록 합니다.

놀라울 정도로 정교한 무차별 대입 공격, 런타임 상호 작용, 타이밍 템플릿을 지원하며, 다음 프로토콜을 포함한 다양한 프로토콜을 지원합니다: SSH, RDP, FTP, Telnet, HTTP(S), WordPress, POP3(S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OWA 및 DICOM.

해시캣

해시캣은 암호 복구 도구입니다. Linux, OS X 및 Windows에서 작동하며, MD4, MD5, SHA 제품군, LM 해시 및 Unix Crypt 형식과 같은 다양한 해시 알고리즘을 지원합니다.

해시캣은 제작자가 발견한 최적화 기술을 통해 유명해졌습니다.

해시캣에는 두 가지 버전이 있습니다:

  • CPU 기반 암호 복구 도구
  • GPU 기반 암호 복구 도구

GPU 도구는 일부 레거시 해시(MD5, SHA1 등)를 CPU 도구보다 훨씬 빠른 시간 안에 해독할 수 있습니다. 그러나 모든 알고리즘이 GPU를 통해 더 빠르게 크래킹될 수 있는 것은 아닙니다. 해시캣은 세계에서 가장 빠른 암호 크래커로 알려져 있습니다.

결론

이 글을 통해 다양한 상황에 맞게 사용할 수 있는 여러 도구를 살펴보았습니다. 각각의 상황에 가장 적합한 도구를 선택해야 합니다. 다양한 대안이 존재하므로, 특정 도구만이 유일한 선택이 아님을 기억해야 합니다. 때로는 가장 단순한 도구가 최선일 수 있으며, 반대의 경우도 있을 수 있습니다.

다음으로는 포렌식 조사 도구에 대해 알아보도록 하겠습니다.

저자
김민준
Korea

기술 트렌드와 실용적인 팁을 전하는 लेखक입니다.

관련 기사
2025-12-26
2026년 클라우드 보안 - 모든 기업이 반드시 바로잡아야 할 것들
휴대폰 알림 소리와 함께 시작되는 악몽이 있습니다. 노출된 AWS S3 버킷에서 고객 데이터가 유출되어 규제 당국의 조사를 받고, 올해 초 중견 소매업체에 480만 달러의 벌금이 부과되었습니다. 급하게 배포하느라 공개 액세스를 켜둔 단순한 실수에서...
2025-11-25
2025년 최고의 guest posting sites & guest post marketplace 랭킹 가이드
해외 SEO, 링크 빌딩, 브랜드 인지도를 동시에 키우고 싶다면 개별 블로그에 하나씩 연락하는 방식만으로는 한계가 있습니다. 대신 전 세계 퍼블리셔와 광고주가 한 곳에 모여 거래하는 guest posting sites 와 guest post...
2025-11-11
한국시장에서존재감강화, 지역채택급증속성장가속화
대한민국, 서울 — 2025 년 10 월 . 한국의 디지털 자산 시장이 놀라운 깊이와 속도로 성장하고 있다. 최근 규제 기관의 공시 자료에 따르면, 대한민국 내 약 1 만 800 명 이상이 10 억 원 ( 약 74 만 달러 ) 이상의 디지털 자산을...
2025-10-19
노벨상 수상자 양젠닝, 103세로 별세…물리학계 큰 별 지다
## 천닝 양, 103세로 별세… 현대 물리학 발전에 지대한 공헌 20세기 물리학의 거장 천닝 양(Chen Ning Yang)이 베이징에서 103세의 나이로 별세했다. 양의 획기적인 연구, 특히 소립자 이해에 대한 그의 공헌은 기초 물리학 을...
이전 기사
Python의 하위 프로세스는 무엇입니까? [5 Usage Examples]
다음 기사
힘내 재설정 대 되돌리기 대 리베이스