비밀번호 스프레이 공격의 위험성과 예방 전략
계정 잠금 임곗값 설정은 무차별 대입 공격으로부터 사용자 계정을 보호하는 데 유용하지만, 해커들은 이제 로그인 시도 잠금 설정을 우회하기 위해 비밀번호 스프레이 공격이라는 새로운 방식을 사용하고 있습니다.
비밀번호 스프레이 공격은 기존의 무차별 대입 공격에 비해 실행이 비교적 간단하며, 탐지하기도 어렵다는 특징이 있습니다.
이 글에서는 비밀번호 스프레이 공격의 정의, 작동 방식, 예방 방법, 그리고 대응 전략에 대해 자세히 알아보겠습니다.
비밀번호 스프레이 공격이란 무엇인가?
비밀번호 스프레이 공격은 공격자가 여러 사용자 계정에 일반적인 비밀번호를 무작위로 시도하는 사이버 공격입니다. 해커는 이 방법을 통해 일부 비밀번호가 계정 접근에 성공할 것이라고 기대합니다.
공격자는 기업의 여러 계정에 대해 흔히 사용되는 하나의 비밀번호를 먼저 시도합니다. 만약 첫 시도에서 접근에 실패하면, 며칠 후 다른 비밀번호를 사용해 다시 시도하는 방식으로 비밀번호 스프레이를 반복합니다.
이 과정을 기업 계정에 접근할 수 있을 때까지 계속합니다. 단일 계정에 대해 짧은 시간 내에 여러 비밀번호를 시도하지 않기 때문에, 로그인 시도 잠금 기능은 과도한 실패로 인해 계정을 차단하지 못하게 됩니다.
기업 네트워크에 침투한 후, 공격자는 다양한 악의적인 활동을 수행할 수 있습니다.
현대 사회에서는 사용자들이 여러 개의 계정을 가지고 있으며, 각 계정에 강력한 비밀번호를 설정하고 기억하는 것은 어려운 일입니다. 이로 인해 많은 사용자들이 쉬운 비밀번호를 선택하게 됩니다.
그러나 쉬운 비밀번호는 일반적이고 잘 알려져 있습니다. 인터넷 검색을 통해 가장 많이 사용되는 비밀번호 목록을 쉽게 얻을 수 있으며, 이러한 쉬운 비밀번호는 비밀번호 스프레이 공격의 주요 표적이 됩니다.
시트릭스는 2018년 10월 13일부터 2019년 3월 8일까지 비밀번호 스프레이 공격으로 인해 내부 네트워크에 침입당한 사례를 발표했습니다.
마이크로소프트 또한 확인된 비밀번호를 사용하여 250개 이상의 Office 365 고객을 대상으로 한 공격이 발생했다고 경고했습니다.
비밀번호 스프레이 공격은 어떻게 작동하는가?
이미지 출처: 월암
성공적인 비밀번호 스프레이 공격은 일반적으로 다음 세 단계를 거칩니다.
#1. 사용자 이름 목록 수집
첫 번째 단계는 조직의 사용자 이름 목록을 확보하는 것입니다.
많은 기업들은 사용자 이름에 대한 표준 규칙을 적용하여, 사용자의 이메일 주소를 계정의 기본 사용자 이름으로 사용합니다. 일반적으로 사용되는 이메일 형식은 [email protected]와 같이 매우 유사하기 때문에, 사용자의 이메일 주소를 추측하는 것은 어렵지 않습니다.
공격자는 기업의 웹사이트, 직원들의 LinkedIn 프로필 또는 다른 온라인 프로필을 통해 사용자 이메일 주소를 확인할 수도 있습니다. 또한, 다크 웹에서 사용자 이름 목록을 구매할 수도 있습니다.
#2. 비밀번호 살포
사용자 이름 목록을 확보한 후, 공격자는 “가장 흔한 비밀번호 목록”을 찾습니다. 인터넷 검색을 통해 특정 연도의 가장 일반적인 비밀번호 목록을 쉽게 찾을 수 있습니다. 성공률을 높이기 위해, 공격자는 사용자의 지리적 위치에 따라 자주 사용되는 비밀번호 목록을 조정할 수도 있습니다.
예를 들어, 인기 있는 스포츠 팀, 문화 행사, 음악 등을 고려할 수 있습니다. 만약 조직이 시카고에 있다면, 공격자는 “Chicago Bears”와 같은 팀 이름과 일반적인 비밀번호를 결합하여 시도할 수 있습니다.
여러 계정에 하나의 비밀번호를 시도한 후, 계정 잠금을 피하기 위해 다음 공격을 시작하기 전에 최소 30~50분을 기다립니다.
공격자는 자동화 도구를 사용하여 이 과정을 자동화할 수 있습니다.
#3. 계정 접근
비밀번호 스프레이 공격이 성공하면 공격자는 사용자 계정에 접근할 수 있게 됩니다. 공격자는 탈취한 계정의 권한을 이용하여 멀웨어 설치, 민감한 데이터 도난, 사기 거래 등의 다양한 악의적인 행위를 수행할 수 있습니다.
또한, 기업 네트워크 내부에 접근할 수 있게 된다면, 네트워크를 더 깊이 파고들어 중요한 자산을 찾고 권한을 높일 수도 있습니다.
비밀번호 스프레이 vs. 크리덴셜 스터핑 vs. 무차별 대입 공격
이미지 출처: 클라우드플레어
크리덴셜 스터핑 공격은 해커가 한 곳에서 훔친 자격 증명을 사용하여 다른 플랫폼의 사용자 계정에 접근하는 공격 방식입니다.
공격자들은 많은 사람들이 여러 웹사이트에서 동일한 사용자 이름과 비밀번호를 사용하는 경향을 이용합니다. 데이터 침해 사고가 증가함에 따라, 해커들은 크리덴셜 스터핑 공격을 수행할 기회가 더욱 늘어나고 있습니다.
반면, 무차별 대입 공격은 시행착오를 통해 비밀번호와 로그인 자격 증명을 해독하는 공격 방식입니다. 해커들은 가능한 모든 조합을 시도하여 올바른 비밀번호를 찾으려고 합니다. 이러한 과정을 빠르게 진행하기 위해 무차별 대입 공격 도구를 사용합니다.
로그인 시도 잠금 기능은 무차별 대입 공격을 효과적으로 방지할 수 있습니다. 짧은 시간 내에 너무 많은 로그인 시도 실패가 감지되면 시스템은 해당 계정을 차단하기 때문입니다.
그러나 비밀번호 스프레이 공격에서는 공격자가 여러 계정에 대해 하나의 일반적인 비밀번호를 시도하므로, 단시간에 하나의 계정에 여러 비밀번호를 시도하는 것이 아니기 때문에 로그인 시도 잠금 기능이 무력화될 수 있습니다.
비밀번호 스프레이 공격이 회사에 미치는 영향
비밀번호 스프레이 공격이 성공하면 다음과 같은 심각한 결과를 초래할 수 있습니다.
- 공격자는 조직 계정에 무단 접근하여 민감한 정보, 재무 기록, 고객 데이터, 영업 기밀 등을 유출할 수 있습니다.
- 탈취한 계정을 사용하여 사기 거래, 무단 구매를 하거나 회사 계좌에서 돈을 빼돌릴 수 있습니다.
- 해커가 회사 네트워크 내부에 접근한 경우, 중요 데이터를 암호화하고 복호화 키를 대가로 몸값을 요구할 수 있습니다.
- 데이터 유출은 회사의 재정적 손실과 평판 손실로 이어질 수 있으며, 고객의 신뢰를 잃고 사업 경쟁력을 약화시킬 수 있습니다.
- 데이터 유출 사고에 대응하고, 법률 자문을 구하고, 사이버 보안 전문가를 고용하는 데 많은 비용과 리소스가 소모될 수 있습니다.
결론적으로, 비밀번호 스프레이 공격은 재정, 운영, 법률, 평판 등 비즈니스의 모든 측면에 영향을 미칠 수 있습니다.
비밀번호 스프레이 공격을 탐지하는 방법
비밀번호 스프레이 공격의 주요 징후는 다음과 같습니다.
- 짧은 시간 안에 대량의 로그인 활동이 감지되는 경우
- 짧은 시간 안에 여러 계정에서 비밀번호 거부 횟수가 급증하는 경우
- 사용하지 않거나 존재하지 않는 계정에서 로그인 시도가 발생하는 경우
- 알려진 사용자 위치와 일치하지 않는 IP 주소에서 로그인 시도가 발생하는 경우
- 비정상적인 시간 또는 업무 시간 외에 여러 계정에 접근하려는 시도가 감지되는 경우 (이때, 각 계정에 하나의 비밀번호만 사용됩니다.)
비밀번호 스프레이 공격을 탐지하기 위해서는 유효한 계정의 시스템 및 애플리케이션 로그인 실패에 대한 인증 로그를 자세히 검토해야 합니다.
만약 비밀번호 스프레이 공격을 의심하게 된다면, 다음과 같은 조치를 취해야 합니다.
- 직원들에게 모든 비밀번호를 즉시 변경하도록 지시하고, 아직 MFA를 사용하지 않는 사용자에게는 MFA를 활성화하도록 안내합니다.
- 엔드포인트 탐지 및 대응(EDR) 도구를 배포하여 회사 엔드포인트에서 악의적인 활동을 추적하여, 해커의 침투를 막고 측면 이동을 방지합니다.
- 데이터 도난 또는 암호화의 징후를 확인하고, 모든 계정이 안전한지 점검한 후 데이터 백업 계획을 세웁니다. 데이터를 보호하기 위해 데이터 보안 솔루션을 설치합니다.
- 보안 제품의 민감도를 높여 여러 시스템에서 실패한 로그인 시도를 식별하도록 설정합니다.
- 이벤트 로그를 검토하여 발생한 사건의 원인, 시기, 방법을 파악하고, 사고 대응 계획을 개선합니다.
해커는 소프트웨어 취약점을 악용하여 권한을 상승시키려고 할 수 있습니다. 따라서 모든 소프트웨어 업데이트와 패치가 설치되었는지 항상 확인해야 합니다.
비밀번호 스프레이 공격을 예방하는 방법
다음은 해커가 비밀번호 스프레이 공격을 통해 사용자 계정에 접근하는 것을 방지하는 몇 가지 전략입니다.
#1. 강력한 비밀번호 정책 준수
비밀번호 스프레이 공격은 주로 추측하기 쉬운 취약한 비밀번호를 대상으로 합니다. 강력한 비밀번호 정책을 수립하면 직원들이 해커가 쉽게 추측하거나 찾을 수 없는 복잡하고 강력한 비밀번호를 만들 수 있게 됩니다. 결과적으로 조직의 사용자 계정은 비밀번호 스프레이 공격으로부터 안전해집니다.
비밀번호 정책에 반드시 포함해야 할 핵심 사항은 다음과 같습니다.
- 비밀번호는 대문자, 소문자, 숫자, 특수문자를 포함하여 12자 이상으로 구성되어야 합니다.
- 비밀번호 거부 목록을 만들어, 생년월일, 출생지, 직위, 가족 이름 등 추측하기 쉬운 정보가 비밀번호에 포함되지 않도록 해야 합니다.
- 모든 비밀번호는 주기적으로 만료되도록 설정해야 합니다.
- 모든 사용자는 각기 다른 계정에 대해 다른 비밀번호를 사용해야 합니다.
- 로그인 시도가 여러 번 실패할 경우 사용자 계정을 잠그는 계정 잠금 임계값을 설정해야 합니다.
효과적인 비밀번호 관리 도구를 사용하면 사용자가 강력한 비밀번호를 생성하고 가장 일반적인 비밀번호를 피할 수 있도록 도움을 줄 수 있습니다.
최고 수준의 비밀번호 관리자는 데이터 유출로 인해 비밀번호가 노출되었는지 여부를 확인하는 데 도움을 줄 수 있습니다.
#2. 다단계 인증(MFA) 적용
다단계 인증(MFA)은 계정에 추가적인 보안 계층을 추가합니다. MFA를 활성화하면 사용자는 사용자 이름과 비밀번호 외에 하나 이상의 추가 인증 요소를 제출해야 합니다.
회사에서 MFA를 구현하면 무차별 대입 공격, 사전 공격, 비밀번호 스프레이 공격 및 기타 비밀번호 공격으로부터 온라인 계정을 보호할 수 있습니다. 공격자는 SMS, 이메일 또는 비밀번호 인증 앱을 통해 전송된 추가 확인 요소에 접근할 수 없기 때문입니다.
또한, MFA는 키로깅 공격으로부터 온라인 계정을 보호하는 데 효과적입니다.
#3. 비밀번호 없는 인증 도입
비밀번호 없는 인증은 생체 인식, 매직 링크, 보안 토큰 등을 이용하여 사용자를 인증하는 방법입니다. 계정 접근에 비밀번호가 사용되지 않기 때문에 해커는 비밀번호 스프레이 공격을 수행할 수 없게 됩니다.
따라서 비밀번호 없는 인증은 대부분의 비밀번호 공격을 예방할 수 있는 가장 효과적인 방법 중 하나입니다. 회사의 계정을 보호하기 위해 이러한 인증 솔루션을 고려해 볼 수 있습니다.
#4. 모의 공격을 통한 준비 태세 점검
시뮬레이션된 비밀번호 스프레이 공격을 수행하여 직원들의 준비 태세를 평가해야 합니다. 이를 통해 비밀번호 보안 상태를 더 잘 이해하고 보안 강화를 위한 조치를 취할 수 있습니다.
#5. 로그인 감지 도구 구축
의심스러운 로그인 시도를 감지하려면 실시간 감사 도구를 설정해야 합니다. 올바른 도구는 단일 호스트에서 짧은 시간 동안 여러 계정에 대한 의심스러운 로그인 시도, 여러 비활성 계정에 대한 로그인 시도, 업무 시간 외의 로그인 시도 등을 식별하는 데 도움이 됩니다.
의심스러운 로그인 활동이 발견되면 손상된 계정 차단, 방화벽 설정 변경, MFA 활성화 등 필요한 조치를 즉시 취해야 합니다.
#6. 직원 교육 실시
직원들은 비밀번호 스프레이 공격으로부터 계정을 보호하는 데 중요한 역할을 합니다. 아무리 강력한 기술적 보안 제어를 사용하더라도, 직원들이 강력한 비밀번호를 생성하고 MFA를 활성화하지 않으면 소용이 없습니다.
따라서 정기적으로 사이버 보안 인식 교육 프로그램을 실시하여 직원들에게 다양한 비밀번호 공격과 예방 방법을 교육해야 합니다. 복잡한 비밀번호를 생성하는 방법을 숙지하고 있는지 확인해야 합니다.
결론
비밀번호 스프레이 공격은 계정 탈취, 데이터 유출, 사이버 공격 등의 심각한 피해를 초래할 수 있습니다. 따라서 회사들은 비밀번호 보안을 강화해야 합니다.
엄격한 비밀번호 정책 시행, MFA 구현, 비밀번호 없는 인증 도입, 로그인 감지 도구 구축, 직원 교육을 통해 비밀번호 스프레이 공격을 효과적으로 예방할 수 있습니다.
또한, 회사의 사용자 이름 규칙을 설정할 때 기존 방식을 탈피하고 새로운 방식을 시도해야 합니다. 예를 들어, 일반적인 이메일 주소 형식을 사용하는 것을 피해야 합니다. [email protected]
회사의 계정 보안을 강화하기 위해 비밀번호 없는 인증을 제공하는 매직 링크 플랫폼을 적극적으로 활용해 보십시오.