무차별 대입 공격은 해커의 플레이북에 나오는 가장 오래된 수법 중 하나이지만 여전히 믿을 수 없을 정도로 효과적입니다. 한 사람이 아니라 매초 수백만 개의 조합을 테스트하는 강력한 알고리즘인 것을 제외하고 누군가가 금고에 대한 조합을 추측하려고 끊임없이 노력하는 모습을 상상해 보십시오.
이 기사에서는 무차별 대입 공격의 메커니즘과 다양한 유형, 그리고 가장 중요한 무차별 대입 공격을 효과적으로 방지하는 방법에 대해 자세히 설명합니다. 시스템을 보호하고 사이버 범죄자를 물리치는 데 도움이 되는 필수 전략, 플랫폼별 방어 및 고급 도구를 다룹니다.
무차별 대입 공격이란 무엇입니까?
웹 개발자가 직면할 수 있는 가장 일반적인 공격 중 하나는 무차별 대입 공격입니다. 여기서 공격자는 올바른 조합을 찾을 때까지 시행착오 방법으로 문자, 숫자 및 기호의 각 조합을 시도하는 알고리즘을 사용합니다.
이런 종류의 공격에서 어려운 점은 단순성과 지속성입니다. 비밀번호는 모든 보안 시스템에서 중요한 부분이므로 쉽게 발견하고 차단할 수 있는 교묘한 속임수나 특별한 허점은 없습니다.
무차별 대입 공격은 까다롭지 않습니다. 개인 계정부터 주요 기업 시스템까지 손에 넣을 수 있는 모든 것을 표적으로 삼습니다. 그러나 이러한 공격의 영향은 문제의 플랫폼에 따라 달라지는 경우가 많습니다. WordPress 관리자 로그인이 손상되면 웹사이트가 손상되거나 고객 데이터가 도난당할 수 있으며, SSH 무차별 대입 공격은 회사의 전체 서버 인프라에 대한 수문을 열 수 있습니다.
이러한 공격은 또한 평판에 큰 타격을 주고 비용이 많이 드는 가동 중지 시간을 초래합니다. 전자상거래나 SaaS 제공업체처럼 온라인 운영에 의존하는 기업은 침해가 발생하면 수익과 고객 신뢰를 모두 잃는 경우가 많습니다. 중소기업의 60% 대규모 사이버 공격이 발생한 후 6개월 이내에 폐쇄됩니다. 이는 이러한 사건이 얼마나 파괴적일 수 있는지를 보여줍니다.
그러나 무차별 공격을 방지하는 방법에 대해 이야기하기 전에 공격이 어떻게 작동하는지, 그리고 공격자가 사용하는 다양한 유형의 무차별 공격 방법을 알아야 합니다.
블로깅 시작
NVMe 스토리지와 전 세계 최소 지연 시간을 갖춘 최고급 하드웨어에서 WordPress를 셀프 호스팅하세요. 선호하는 배포판을 선택하세요.
WordPress VPS 받기
다양한 유형의 무차별 대입 공격
무차별 대입 공격에는 여러 가지 유형이 있습니다.
- 사전 공격: "123456" 또는 "password"와 같이 일반적으로 사용되는 비밀번호 목록을 반복적으로 시도하여 쉽게 추측할 수 있는 비밀번호를 타겟팅하세요.
- 크리덴셜 스터핑: 해커는 과거 위반으로 인해 유출된 사용자 이름-비밀번호 조합을 사용하여 여러 계정에 액세스합니다.
- 역무차별 대입 공격: 알려진 비밀번호(예: “123456” 또는 “환영”)로 시작하여 하나의 미끼로 낚시하는 것과 유사하게 수많은 사용자 이름과 체계적으로 대조하여 일치하는 항목을 찾습니다.
- 레인보우 테이블 공격: 해시를 비밀번호에 매핑하는 미리 계산된 테이블을 활용하여 각 해시를 즉석에서 계산하지 않고도 해시된 비밀번호를 더 빠르게 해독할 수 있습니다.
- 비밀번호 스프레이: 여러 개의 비밀번호 추측으로 단일 계정을 폭격하는 대신, 잠금을 유발하지 않고 약점을 악용하기 위해 여러 사용자 이름에 걸쳐 몇 가지 일반적인 비밀번호를 테스트합니다.
- 온라인 무차별 대입 공격: 웹사이트 및 앱과 같은 라이브 시스템을 타겟팅합니다. 서버와 상호 작용하지만 잠재적인 조절이나 속도 제한에 직면할 수 있으므로 취약한 로그인 양식에 대해서는 속도가 느리지만 위험할 수 있습니다.
- 오프라인 무차별 대입 공격: 훔친 암호화된 비밀번호 파일을 대상으로 수행되며, 해커가 방화벽이나 모니터링 시스템에 감지되지 않은 채 자신의 컴퓨터에서 고속으로 암호 해독 키를 테스트할 수 있습니다.
이러한 공격이 왜 그렇게 널리 퍼져 있습니까? 문제의 큰 부분은 우리입니다. 연구에 따르면 65%의 사람들 여러 계정에서 비밀번호를 재사용합니다. 이는 도둑에게 마스터 키를 주는 것과 같습니다. 일단 비밀번호가 하나 있으면 잠재적으로 모든 것을 잠금 해제할 수 있습니다. 그리고 "qwerty"와 같은 비밀번호가 해마다 여전히 인기 차트 1위에 오르는 것은 도움이 되지 않습니다.
이러한 공격이 얼마나 흔한지 파악하기 위해 다음 통계를 참고하세요. 전체 로그인 시도 중 22.6% 2022년 전자상거래 웹사이트에는 무차별 대입 공격이나 크리덴셜 스터핑 공격이 있었습니다. 이는 거의 4번의 시도 중 1번입니다! 기업은 이러한 무자비한 공격으로 인해 사기 구매, 고객 데이터 도난, 심각한 PR 악몽에 직면했습니다.
또한 해커는 대상 사이트 페이지의 범위를 확대하고 사이트의 특정 매개변수 요구 사항에 맞게 무차별 대입 도구를 미세 조정합니다. 로그인 페이지가 명백한 표적이지만 CMS 관리 포털도 공격자에게 인기 있는 핫스팟입니다. 여기에는 다음이 포함됩니다.
- 워드프레스: wp-admin 및 wp-login.php와 같은 공통 진입점.
- 마젠토: /index.php 및 관리 패널과 같은 취약한 경로.
- 줌라!: 관리자 페이지는 자주 불스아이입니다.
- v게시판: admin cp와 같은 관리 대시보드는 종종 십자선에 놓이게 됩니다.
좋은 소식이요? 위험을 이해하는 것이 전투의 절반입니다. WordPress 사이트, SSH 서버 또는 기타 플랫폼을 보호하는 경우, 취약점이 어디에 있는지 아는 것이 무차별 대입 공격을 예방하는 첫 번째 단계입니다.
무차별 대입 공격을 방지하는 방법에 대한 모범 사례
무차별 대입 공격을 막으려면 상식과 현명한 전략이 함께 필요합니다. 집 안의 모든 문과 창문을 잠그고 만일의 경우에 대비해 보안 시스템을 추가하는 것이라고 생각해보세요. 이러한 모범 사례는 대부분의 플랫폼에서 작동하며 시스템을 안전하게 유지하기 위한 강력한 기반을 제공하고 무차별 대입 공격을 방지하는 방법에 대한 중요한 단계입니다.
강력하고 고유한 비밀번호를 사용하세요
취약하거나 재사용된 비밀번호는 무차별 대입 공격을 위한 공개 초대입니다. 최소 12자 길이의 비밀번호를 선택하고 문자, 숫자, 기호를 혼합하고 예측 가능한 것은 피하십시오. 에이 발견된 연구 '123456'과 'password'는 2022년에도 여전히 가장 일반적인 비밀번호 중 하나였습니다.
다단계 인증(MFA) 구현
MFA를 사용하면 해커가 비밀번호를 추측하더라도 휴대폰으로 전송되는 일회성 코드와 같은 추가 확인 단계가 필요합니다. 마이크로소프트에 따르면, MFA는 계정 침해 공격을 99.2% 이상 차단합니다. 우리의 가이드를 확인하세요 Windows 10에서 2단계 인증을 활성화하는 방법.
계정 잠금 활성화
계정을 일시적으로 잠그기 전에 실패한 로그인 시도를 제한하십시오. 이 간단한 기능은 무차별 대입 공격을 차단합니다.
속도 제한 설정
일정 기간 내에 로그인을 시도할 수 있는 빈도를 제한합니다. 예를 들어, 분당 5번의 시도만 허용하면 무차별 대입 공격 가능성이 낮아질 수 있습니다.
비정상적인 활동 모니터링 및 대응
침입 탐지 시스템(IDS)과 같은 도구를 사용하여 무차별 공격 시도를 조기에 포착하세요.
최고의 방어는 계층화되어 있습니다. 이러한 전술을 결합하고 무차별 대입 공격을 중지하는 방법을 알면 공격자가 성공하기가 훨씬 더 어려워집니다. 다음으로 무차별 대입 공격이 특히 흔한 WordPress와 같은 특정 플랫폼에 이러한 원칙을 적용하는 방법을 살펴보겠습니다.
WordPress의 무차별 공격 방지
WordPress 사이트는 해커 자석입니다. 수백만 개의 웹사이트가 플랫폼에서 실행되고 있기 때문에 공격자들은 보안이 취약한 웹사이트를 찾을 가능성이 높다는 것을 알고 있습니다. WordPress에 대한 무차별 대입 공격을 방지하는 방법을 아는 것은 큰 변화를 가져올 수 있으며 생각보다 쉽습니다.
기본 로그인 URL 변경
해커는 기본 로그인 페이지(/wp-admin 또는 /wp-login.php)를 표적으로 삼습니다. 맞춤 URL로 전환하는 것은 현관문을 옮기는 것과 같아서 공격자가 찾기가 훨씬 더 어렵습니다.
보안 플러그인 설치
Wordfence 및 Sucuri와 같은 플러그인은 CAPTCHA, IP 차단 및 실시간 모니터링을 포함한 강력한 무차별 공격 방지 도구를 제공합니다.
XML-RPC 비활성화
XML-RPC는 로그인 시도를 위한 게이트웨이 해커의 공격입니다. 이를 비활성화하는 것은 WordPress 사이트가 일반적으로 직면하는 무차별 대입 공격에 대한 취약성을 줄이는 데 필수입니다.
로그인 페이지에 CAPTCHA 추가
CAPTCHA는 인간만 로그인할 수 있도록 보장하여 자동화된 무차별 대입 도구를 종료합니다.
wp-config.php 강화
.htaccess 또는 서버 규칙을 조정하여 사이트의 청사진인 wp-config.php에 대한 액세스를 제한하세요.
정기적으로 업데이트
오래된 플러그인과 테마는 공격자에게 열린 문입니다. 정기적인 업데이트는 알려진 취약점을 패치하여 무차별 대입 공격 WordPress 위험으로부터 보호합니다. 이는 WordPress 사이트에서 흔히 발생하는 무차별 대입 공격을 방어하는 데 핵심입니다.
이러한 단계를 수행하면 WordPress 사이트의 보안이 훨씬 더 강화됩니다. 다음으로 무차별 대입 공격의 또 다른 빈번한 대상인 SSH 서버 보안을 다루겠습니다.
SSH 무차별 대입으로부터 보호
SSH 서버는 왕국의 디지털 열쇠와 같아서 해커의 주요 표적이 됩니다. SSH에 대한 무차별 대입 공격을 방지하는 방법을 아는 것은 현명할 뿐만 아니라 민감한 시스템을 보호하는 데 중요합니다.
SSH 키 인증 사용
비밀번호 기반 로그인은 위험합니다. SSH 키 인증으로 전환 공격자가 추측된 비밀번호뿐만 아니라 개인 키에 액세스해야 하므로 추가 보안 계층을 추가합니다. 이는 SSH 무차별 대입 공격의 성공률을 대폭 감소시킵니다.
루트 로그인 비활성화
루트 사용자는 SSH 무차별 대입의 첫 번째 대상이 되는 경우가 많습니다. 직접 루트 로그인을 비활성화하고 제한된 권한을 가진 별도의 사용자 계정을 생성하십시오. 해커는 목표로 삼을 수 없는 것을 무차별 공격할 수 없습니다.
UFW 및 Fail2Ban 설정
UFW 및 Fail2Ban과 같은 도구는 실패한 로그인 시도를 모니터링하고 의심스러운 동작을 보이는 IP를 차단합니다. SSH 서버에 대한 무차별 대입 공격을 막는 가장 효과적인 방어 수단 중 하나입니다. 자세한 가이드는 다음과 같습니다. UFW 및 Fail2Ban을 설치, 활성화 및 관리하는 방법.
기본 포트 변경
기본적으로 SSH는 포트 22를 사용하며 해커는 이를 알고 있습니다. SSH를 비표준 포트로 이동 간단하지만 효과적인 모호함을 추가합니다.
IP 화이트리스트 사용
특정 IP 주소에 대한 SSH 액세스를 제한합니다. 이는 원치 않는 트래픽을 완전히 차단하여 무차별 대입 도구가 시작되는 것을 방지합니다.
이러한 단계를 수행하면 SSH 서버가 공격에 훨씬 덜 취약해집니다. 이제 무차별 대입 공격을 방지하는 방법에 대한 일반적인 사례를 다루었으므로 공격자가 사용하는 특정 도구에 맞서 싸우는 방법에 대해 이야기하겠습니다.
일반적으로 사용되는 무차별 대입 공격 도구 및 이에 대처하는 방법
위의 방법은 무차별 공격 방지에 큰 도움이 될 수 있지만 대부분 무차별 공격을 방지하는 방법에 대한 일반적인 내용입니다. 그러나 문제는 많은 공격자가 몇 가지 특정 도구를 사용하므로 이러한 도구에 맞서 싸우는 방법을 아는 것이 매우 중요하다는 것입니다.
Wi-Fi 비밀번호 크래킹 도구
에어크랙-ng: WEP, WPA 및 WPA2-PSK에 대한 사전 공격을 통해 Wi-Fi 비밀번호를 해독하는 다용도 도구로, 여러 플랫폼에서 사용할 수 있습니다.
- 완화: WPA3 암호화를 사용하고, 길고 복잡한 비밀번호를 생성하고, MAC 주소 필터링을 활성화하고, 무선 침입 탐지 시스템(WIDS)을 배포하세요.
일반 비밀번호 크래킹 도구
존 더 리퍼: 취약한 비밀번호를 식별하고 무차별 대입 또는 사전 공격을 사용하여 비밀번호를 크랙하며 Windows 및 Unix를 포함한 15개 이상의 플랫폼을 지원합니다.
- 완화: 강력한 비밀번호 정책(최소 12자, 높은 복잡성)을 시행하고, 솔티드 해시를 사용하고, 정기적인 비밀번호 감사 및 순환을 수행합니다.
무지개 균열: 미리 계산된 레인보우 테이블을 활용하여 비밀번호 크래킹 속도를 높이고 Windows와 Linux를 모두 지원합니다.
- 완화: 솔티드 해시를 사용하여 레인보우 테이블을 비효율적으로 만들고 bcrypt, Argon2 또는 스크립트와 같은 해싱 알고리즘을 적용합니다.
L0pht균열: 해시 추출 및 네트워크 모니터링과 같은 고급 기능을 지원하는 동시에 사전, 무차별 공격, 하이브리드 공격 및 레인보우 테이블을 사용하여 Windows 암호를 해독합니다.
- 완화: 시도 실패 후 계정을 잠그고, 더 강력한 엔트로피를 위해 암호를 사용하고, 다단계 인증(MFA)을 시행하세요.
오프크랙: 내장된 레인보우 테이블을 사용하여 LM 해시를 통해 Windows 암호를 해독하는 데 중점을 두고 있으며 종종 몇 분 안에 완료됩니다.
- 완화: LM 해시를 사용하지 않는 시스템(예: Windows 10+)으로 업그레이드하고, 길고 복잡한 비밀번호를 사용하고, SMBv1을 비활성화하세요.
고급 및 다목적 비밀번호 도구
해시캣: 무차별 공격, 사전 및 하이브리드와 같은 다양한 해시 및 공격을 지원하는 GPU 가속 도구입니다.
- 완화: 강력한 비밀번호 정책을 시행하고, 해시 파일을 안전하게 저장하고, 강력한 키로 민감한 데이터를 암호화하세요.
데이브그롤: 분산 무차별 공격 및 사전 공격을 지원하는 Mac OS X 전용 도구입니다.
- 완화: Mac OS X 시스템을 감사하고, 비밀번호 파일 액세스를 제한하고, 다단계 인증(MFA)을 시행합니다.
네트워크 인증 및 프로토콜 도구
균열: 다양한 플랫폼에서 RDP, SSH 및 FTP와 같은 네트워크 인증 프로토콜을 해독합니다.
- 완화: 방화벽을 통해 네트워크 연결 서비스에 대한 액세스를 제한하고, 여러 번의 로그인 시도 실패 후 IP 기반 차단을 시행하고, 중요한 서비스에 대해 기본이 아닌 포트를 사용하십시오.
THC 히드라: Telnet, FTP, HTTP(S)를 포함한 30개 이상의 프로토콜에 대해 사전 기반 무차별 대입 공격을 수행합니다.
- 완화: CAPTCHA 또는 기타 메커니즘을 적용하여 재시도를 제한하고, 암호화된 프로토콜(예: FTPS, HTTPS)을 활용하고, 보안 액세스를 위해 MFA를 요구합니다.
웹, 하위 도메인 및 CMS를 위한 전문 도구
고버스터: 웹 침투 테스트에서 무차별 대입 하위 도메인 및 디렉터리에 적합합니다.
- 완화: 웹 애플리케이션 방화벽(WAF)을 사용하고, 민감한 디렉터리에 대한 액세스를 제한하고, 기본 파일 구조를 숨기거나 난독화합니다.
연구: 보안 테스트 중에 숨겨진 웹 경로와 디렉터리를 검색합니다.
- 완화: .htaccess 또는 서버 규칙을 사용하여 액세스를 제한하고, 사용하지 않는 디렉터리를 제거하고, 민감한 웹 경로를 보호하세요.
버프 스위트: 무차별 대입 및 취약점 검색 기능을 갖춘 완벽한 웹 보안 테스트 제품군입니다.
- 완화: 정기적으로 웹 애플리케이션을 패치하고, 침투 테스트를 수행하고, 비정상적인 무차별 공격 활동을 모니터링합니다.
CM탐색: 테스트 중 CMS 취약점을 발견하고 활용하는 데 중점을 둡니다.
- 완화: 보호 플러그인을 사용하여 CMS 플랫폼을 최신 상태로 유지하고 구성을 보호하며 무차별 공격 시도를 제한하세요.
토큰, 소셜 미디어 및 기타 도구
JWT 크래커: 테스트 목적으로 JSON 웹 토큰 크래킹을 전문으로 합니다.
- 완화: JWT 서명을 위해 길고 안전한 키를 사용하고, 짧은 토큰 만료 시간을 적용하고, 약하거나 서명되지 않은 알고리즘을 거부합니다.
소셜박스: 소셜 미디어 계정 무차별 테스트에 사용됩니다.
- 완화: 시도 실패 후 계정 잠금을 활성화하고, 2단계 인증을 시행하고, 사용자에게 피싱 주의 사항을 교육합니다.
예언자: 무차별 대입 공격을 위한 맞춤형 단어 목록을 생성하기 위한 사전 작성기입니다.
- 완화: 자격 증명 유출을 모니터링하고, 취약한 기본 비밀번호 사용을 피하고, 보안을 위해 지속적인 감사를 시행하세요.
파타토르: 다양한 프로토콜과 방법을 지원하는 다목적 무차별 도구입니다.
- 완화: 속도 제한, 사용자 정의 오류 메시지 및 강력한 계정 잠금 메커니즘을 구현하여 공격자의 속도를 늦춥니다.
넷트래커: 무차별 공격 및 기타 평가를 포함한 침투 테스트 작업을 자동화합니다.
- 완화: 네트워크 로그를 정기적으로 모니터링하고 테스트 자격 증명을 격리하며 침투 도구가 안전하게 관리되는지 확인하세요.
최종 생각 및 고급 무차별 대입 공격 방지 조치
행동 분석 소프트웨어, 허니팟, IP 평판 차단기와 같은 고급 도구는 위협이 발생하기 전에 이를 찾아 차단할 수 있습니다. 이러한 사전 조치는 다단계 인증 및 강력한 비밀번호와 같은 주요 조치와 함께 작동하여 견고한 방어를 구축합니다.
무차별 대입 공격을 방지하는 방법을 배우는 것은 장기적으로 생각하는 것을 의미합니다. 스마트 전략과 무차별 대입 공격 방지 도구를 결합하면 가장 집요한 공격자로부터 시스템을 보호하는 데 도움이 됩니다. 예리함을 유지하고 적응력을 유지하며 사이버 보안을 미래에 대한 투자로 여기십시오.
