무차별 대입 공격은 해커들이 가장 오래 써온 수법 중 하나지만, 지금도 여전히 통한다. 금고 비밀번호를 알아내려는 사람을 상상해보자. 한 명이 손으로 하나씩 눌러보는 게 아니라, 강력한 알고리즘이 초당 수백만 가지 조합을 자동으로 시도하는 것이다.
이 글에서는 무차별 대입 공격의 작동 원리와 유형, 그리고 가장 중요한 효과적인 방어 방법을 자세히 다룹니다. 핵심 보안 전략, 플랫폼별 방어 기법, 고급 도구까지 폭넓게 살펴보며 시스템을 안전하게 지키고 공격자보다 한발 앞서 대응하는 방법을 알아봅니다.
무차별 대입 공격이란 무엇인가?
웹 개발자가 맞닥뜨릴 수 있는 가장 흔한 공격 중 하나가 무차별 대입 공격입니다. 공격자는 알고리즘을 이용해 문자, 숫자, 기호의 모든 조합을 하나씩 시도하는 방식으로 올바른 조합을 찾아냅니다.
이 공격의 까다로운 점은 단순함과 집요함에 있습니다. 쉽게 발견하거나 차단할 수 있는 교묘한 트릭이나 특별한 허점이 없습니다. 비밀번호 자체가 모든 보안 시스템의 핵심 요소이기 때문입니다.
무차별 대입 공격은 가리지 않습니다. 개인 계정부터 대형 기업 시스템까지 손에 닿는 것은 무엇이든 표적으로 삼습니다. 다만 공격의 파급력은 대상 플랫폼에 따라 크게 달라집니다. WordPress 관리자 계정이 탈취되면 웹사이트 변조나 고객 데이터 유출로 이어질 수 있고, SSH에 대한 무차별 대입 공격은 회사 전체 서버 인프라를 위험에 빠뜨릴 수 있습니다.
이러한 공격은 평판 손상과 비용이 큰 서비스 중단으로도 이어집니다. 이커머스나 SaaS 제공업체처럼 온라인 운영에 의존하는 기업은 보안 침해 사고 발생 시 매출과 고객 신뢰를 동시에 잃는 경우가 많습니다. 소규모 기업의 60% 대규모 사이버 공격을 받은 후 6개월 이내에 폐업하는 경우도 있습니다. 이 수치만 봐도 이러한 사고가 얼마나 치명적인지 알 수 있습니다.
무차별 대입 공격을 예방하는 방법을 이야기하기 전에, 공격자들이 어떻게 이 공격을 수행하는지, 그리고 어떤 유형의 방법을 사용하는지를 먼저 이해해야 합니다.
블로그 시작하기
NVMe 스토리지와 전 세계 어디서나 낮은 지연 시간을 제공하는 고성능 서버에 WordPress를 직접 운영하세요. 원하는 배포판을 선택할 수 있습니다.
WordPress VPS 시작하기
브루트 포스 공격의 유형
무차별 대입 공격에는 여러 유형이 있습니다.
- 딕셔너리 공격: "123456"이나 "password"처럼 자주 쓰이는 비밀번호 목록을 반복적으로 시도해 쉽게 추측 가능한 비밀번호를 노립니다.
- 자격증명 채우기: 과거 유출 사고에서 확보한 아이디와 비밀번호 조합을 활용해 여러 계정에 무단 접근을 시도합니다.
- 역방향 무차별 대입 공격: "123456"이나 "welcome" 같은 이미 알려진 비밀번호로 시작해 수많은 아이디와 대조하는 방식입니다. 하나의 미끼로 낚시를 하듯, 해당 비밀번호를 사용하는 계정을 찾아냅니다.
- 레인보우 테이블 공격: 해시 값과 비밀번호를 미리 매핑해 둔 테이블을 활용합니다. 해시를 그때그때 계산하지 않아도 되기 때문에 해시된 비밀번호를 더 빠르게 크래킹할 수 있습니다.
- 비밀번호 분무: 하나의 계정에 수많은 비밀번호를 퍼붓는 대신, 소수의 흔한 비밀번호를 여러 아이디에 걸쳐 시험합니다. 계정 잠금을 유발하지 않으면서 취약점을 파고드는 방식입니다.
- 온라인 무차별 대입 공격: 웹사이트나 앱처럼 실제 운영 중인 시스템을 표적으로 삼습니다. 서버와 직접 통신하기 때문에 속도 제한이나 요청 제한에 걸릴 수 있어 상대적으로 느리지만, 로그인 양식이 취약한 경우에는 충분히 위협적입니다.
- 오프라인 무차별 대입 공격: 암호화된 비밀번호 파일을 탈취한 뒤, 방화벽이나 모니터링 시스템에 탐지되지 않고 자신의 장비에서 고속으로 복호화 키를 테스트하는 방식으로 진행됩니다.
이런 공격이 왜 이렇게 흔할까요? 문제의 상당 부분은 우리 자신에게 있습니다. 연구에 따르면 65% of people는 "사람들의 65%"입니다. 사람들의 65% 여러 계정에 동일한 비밀번호를 재사용하는 사용자가 많습니다. 마치 도둑에게 마스터 키를 건네주는 것과 같습니다. 비밀번호 하나만 알면 모든 계정을 열 수 있으니까요. 게다가 "qwerty" 같은 비밀번호가 해마다 가장 많이 쓰이는 목록 상위에 오르는 현실도 문제를 더욱 악화시킵니다.
이러한 공격이 얼마나 빈번한지 실감할 수 있는 통계가 있습니다. 전체 로그인 시도의 22.6% 2022년 이커머스 웹사이트에서 발생한 로그인 시도 중 거의 4분의 1이 무차별 대입 공격이나 크리덴셜 스터핑 공격이었습니다. 이러한 끊임없는 공격으로 기업들은 사기 결제, 고객 데이터 유출, 심각한 PR 위기를 겪었습니다.
공격자들은 목표 사이트의 페이지를 면밀히 분석하고, 해당 사이트의 특정 파라미터 요건에 맞게 무차별 대입 도구를 정교하게 다듬습니다. 로그인 페이지가 가장 명확한 표적이지만, CMS 관리자 포털도 공격자들이 즐겨 노리는 지점입니다. 주요 대상은 다음과 같습니다.
- WordPress: wp-admin, wp-login.php 등 주요 진입 경로.
- Magento: /index.php나 관리자 패널 같은 취약한 경로.
- Joomla!: 관리자 페이지가 자주 표적이 됩니다.
- vBulletin: admin cp 같은 관리자 대시보드도 공격자들의 주요 목표입니다.
다행인 점은, 위험을 이해하는 것만으로도 절반은 해결된다는 것입니다. WordPress 사이트든, SSH 서버든, 다른 어떤 플랫폼이든 자신의 취약점이 어디에 있는지 파악하는 것이 무차별 대입 공격을 예방하는 첫 번째 단계입니다.
브루트포스 공격 방지를 위한 모범 사례
무차별 대입 공격을 막으려면 상식적인 접근과 체계적인 전략을 함께 활용해야 합니다. 집의 문과 창문을 모두 잠그고, 혹시 모를 상황을 대비해 보안 시스템까지 추가하는 것과 같습니다. 아래의 모범 사례들은 대부분의 플랫폼에 적용할 수 있으며, 시스템을 안전하게 유지하는 탄탄한 기반이 됩니다.
강력하고 고유한 비밀번호를 사용하세요
취약하거나 재사용된 비밀번호는 무차별 대입 공격을 부르는 것이나 다름없습니다. 최소 12자 이상이고, 문자, 숫자, 기호를 조합하며, 예측하기 쉬운 내용은 피하세요. 연구에 따르면 2022년에도 "123456"과 "password"가 가장 많이 사용된 비밀번호 목록에 올랐다는 사실이 밝혀졌습니다.
다중 인증(MFA) 구현 (MFA)
MFA를 사용하면 해커가 비밀번호를 알아내더라도 휴대폰으로 전송된 일회용 코드 같은 추가 인증 단계를 통과해야 합니다. Microsoft에 따르면MFA는 계정 탈취 공격의 99.2% 이상을 차단합니다. 다음 가이드를 참고하세요. Windows 10에서 2단계 인증 활성화하는 방법.
계정 잠금 활성화
일정 횟수 이상 로그인에 실패하면 계정을 일시적으로 잠급니다. 이 간단한 기능만으로도 무차별 대입 공격을 효과적으로 차단할 수 있습니다.
속도 제한 설정
특정 시간 내에 로그인을 시도할 수 있는 횟수를 제한합니다. 예를 들어, 1분당 최대 5회로 제한하면 무차별 대입 공격의 성공 가능성을 크게 낮출 수 있습니다.
비정상적인 활동을 모니터링하고 즉각 대응하세요
침입 탐지 시스템(IDS) 같은 도구를 활용해 무차별 대입 시도를 조기에 감지하세요.
가장 효과적인 방어는 다층적인 접근입니다. 이러한 전략들을 조합해 무차별 대입 공격을 막으면 공격자가 성공하기 훨씬 어려워집니다. 다음으로는 무차별 대입 공격이 특히 잦은 WordPress 같은 특정 플랫폼에 이 원칙을 적용하는 방법을 알아보겠습니다.
WordPress의 무차별 대입 공격 차단
WordPress 사이트는 해커들이 즐겨 노리는 대상입니다. 수백만 개의 웹사이트가 이 플랫폼에서 운영되고 있어, 공격자들은 보안이 취약한 사이트를 찾을 확률이 높다는 것을 알고 있습니다. WordPress에서 무차별 대입 공격을 예방하는 방법을 알면 큰 차이를 만들 수 있으며, 생각보다 어렵지 않습니다.
기본 로그인 정보 변경 URL
해커들은 기본 로그인 페이지(/wp-admin 또는 /wp-login.php)를 표적으로 삼습니다. URL를 커스텀 주소로 변경하면 현관문 위치를 바꾸는 것과 같아서 공격자가 찾기 훨씬 어려워집니다.
보안 플러그인 설치
Wordfence, Sucuri 같은 플러그인은 CAPTCHA, IP 차단, 실시간 모니터링 등 강력한 무차별 대입 공격 방어 기능을 제공합니다.
XML-RPC 비활성화
XML-RPC는 해커들이 로그인 시도에 악용하는 취약점입니다. 이를 비활성화하면 WordPress 사이트에서 흔히 발생하는 무차별 대입 공격에 대한 노출을 크게 줄일 수 있습니다.
로그인 페이지에 CAPTCHA 추가하기
CAPTCHA를 사용하면 사람만 로그인할 수 있어 자동화된 무차별 대입 도구를 원천 차단할 수 있습니다.
wp-config.php 보안 강화
.htaccess 설정이나 서버 규칙을 조정해 사이트의 핵심 설정 파일인 wp-config.php에 대한 접근을 제한하세요.
정기적으로 업데이트
오래된 플러그인과 테마는 공격자에게 열린 문이나 다름없습니다. 정기적인 업데이트로 알려진 취약점을 패치하면 무차별 대입 공격 위험을 줄일 수 있습니다. WordPress 사이트를 지키는 데 있어 가장 중요한 조치 중 하나입니다.
이 단계들을 적용하면 WordPress 사이트의 보안이 크게 강화됩니다. 다음으로는 무차별 대입 공격의 또 다른 주요 표적인 SSH 서버 보안을 다루겠습니다.
SSH 무차별 대입 공격 차단하기
SSH 서버는 시스템의 디지털 열쇠와 같아 해커들의 핵심 표적이 됩니다. SSH에 대한 무차별 대입 공격을 막는 방법을 아는 것은 선택이 아니라 중요한 시스템을 보호하기 위한 필수 사항입니다.
SSH 키 인증 사용
비밀번호 기반 로그인은 보안에 취약합니다. SSH 키 인증으로 전환하면 공격자가 추측한 비밀번호가 아닌 개인 키에 직접 접근해야 하므로 보안이 한층 강화됩니다. 이를 통해 SSH 무차별 대입 공격의 성공률을 대폭 낮출 수 있습니다.
루트 로그인 비활성화
SSH 무차별 대입 공격에서 root 계정은 가장 먼저 노리는 표적입니다. root 직접 로그인을 비활성화하고 권한이 제한된 별도 계정을 만드세요. 표적 자체를 없애면 공격자가 무차별 대입을 시도할 수 없습니다.
UFW와 Fail2Ban 설정하기
UFW나 Fail2Ban 같은 도구는 로그인 실패 시도를 모니터링하고 수상한 IP를 차단합니다. SSH 서버에 대한 무차별 대입 공격을 막는 가장 효과적인 방법 중 하나입니다. 자세한 가이드는 여기를 참고하세요: UFW 및 Fail2Ban 설치, 활성화, 관리 방법.
기본 포트 변경하기
기본적으로 SSH는 포트 22를 사용하며, 해커들도 이를 알고 있습니다. SSH를 비표준 포트로 변경하면 간단하지만 효과적인 은폐 수단이 됩니다.
IP 화이트리스팅 사용
SSH 접근을 특정 IP 주소로 제한하세요. 원치 않는 트래픽을 완전히 차단해 무차별 대입 도구가 시작조차 못 하게 막을 수 있습니다.
이 단계들을 적용하면 SSH 서버가 공격에 훨씬 덜 취약해집니다. 일반적인 무차별 대입 공격 방어 방법을 살펴봤으니, 이제 공격자들이 실제로 사용하는 특정 도구에 대응하는 방법을 알아보겠습니다.
자주 쓰이는 무차별 대입 공격 도구와 대응 방법
위의 방법들은 무차별 대입 공격 방어에 큰 도움이 되지만 대부분 일반적인 대책입니다. 실제로 많은 공격자들은 특정 도구를 사용하기 때문에, 각 도구에 대응하는 방법을 아는 것이 매우 중요합니다.
Wi-Fi 비밀번호 크래킹 도구
Aircrack-ng: WEP, WPA, WPA2-PSK에 대한 사전 공격으로 Wi-Fi 비밀번호를 크래킹하는 다목적 도구로, 여러 플랫폼에서 사용할 수 있습니다.
- 완화 방법: WPA3 암호화를 사용하고, 길고 복잡한 비밀번호를 설정하고, MAC 주소 필터링을 활성화하고, 무선 침입 탐지 시스템(WIDS)을 배포하세요.
범용 비밀번호 크래킹 도구
John the Ripper 무차별 대입 또는 사전 공격으로 취약한 비밀번호를 식별하고 크래킹하며, Windows 및 Unix를 포함한 15개 이상의 플랫폼을 지원합니다.
- 완화 방법: 강력한 비밀번호 정책(최소 12자, 높은 복잡도)을 적용하고, 솔티드 해시를 사용하고, 정기적인 비밀번호 감사 및 교체를 실시하세요.
무지개 균열 미리 계산된 레인보우 테이블을 활용해 비밀번호 크래킹 속도를 높이며, Windows와 Linux를 모두 지원합니다.
- 완화 방법: 솔티드 해시를 사용해 레인보우 테이블 공격을 무력화하고, bcrypt, Argon2, scrypt 같은 해싱 알고리즘을 적용하세요.
L0phtCrack: 사전 공격, 무차별 대입, 하이브리드 공격, 레인보우 테이블을 활용해 Windows 비밀번호를 크래킹하며, 해시 추출 및 네트워크 모니터링 등 고급 기능도 지원합니다.
- 완화 방법: 로그인 실패 횟수 초과 시 계정을 잠그고, 엔트로피가 높은 패스프레이즈를 사용하며, 다중 인증(MFA)을 적용하세요.
Ophcrack: 내장된 레인보우 테이블을 이용해 LM 해시 기반의 Windows 비밀번호를 크래킹하며, 대부분 몇 분 안에 완료됩니다.
- 완화 방법: LM 해시에 의존하지 않는 시스템으로 업그레이드하고(예: Windows 10 이상), 길고 복잡한 비밀번호를 사용하며, SMBv1을 비활성화하세요.
고급 다목적 비밀번호 도구
Hashcat: GPU 가속을 활용하는 도구로, 무차별 대입, 사전 공격, 하이브리드 공격 등 다양한 해시 유형과 공격 방식을 지원합니다.
- 완화 방법: 강력한 비밀번호 정책을 시행하고, 해시 파일을 안전하게 보관하며, 강력한 키로 민감한 데이터를 암호화하세요.
DaveGrohl: 분산 무차별 대입 및 사전 공격을 지원하는 Mac OS X 전용 도구입니다.
- 완화 방법: Mac OS X 시스템을 감사하고, 비밀번호 파일 접근을 제한하며, 다중 인증(MFA)을 적용하세요.
네트워크 인증 및 프로토콜 도구
Ncrack: 다양한 플랫폼에서 RDP, SSH, FTP 같은 네트워크 인증 프로토콜을 크래킹합니다.
- 완화 방법: 방화벽으로 외부에 노출된 서비스 접근을 제한하고, 로그인 실패가 반복될 경우 IP 차단을 적용하며, 중요한 서비스에는 기본 포트 대신 비표준 포트를 사용하세요.
THC 하이드라 Telnet, FTP, HTTP(S)를 포함한 30개 이상의 프로토콜을 대상으로 사전 기반 무차별 대입 공격을 수행합니다.
- 완화 방법: CAPTCHA 또는 재시도 횟수를 제한하는 메커니즘을 도입하고, 암호화된 프로토콜(예: FTPS, HTTPS)을 사용하며, 안전한 접근을 위해 MFA를 요구하세요.
웹, 서브도메인, CMS 전용 도구
Gobuster: 웹 침투 테스트에서 서브도메인 및 디렉터리를 무차별 대입 방식으로 탐색하는 데 적합합니다.
- 완화 방법: 웹 애플리케이션 방화벽(WAFs)을 사용하고, 민감한 디렉터리 접근을 제한하며, 기본 파일 구조를 숨기거나 난독화하세요.
연구: 보안 테스트 중 숨겨진 웹 경로와 디렉터리를 탐색합니다.
- 완화 방법: .htaccess 또는 서버 규칙으로 접근을 제한하고, 사용하지 않는 디렉터리를 제거하며, 민감한 웹 경로를 보호하세요.
Burp Suite 무차별 대입과 취약점 스캔 기능을 갖춘 종합 웹 보안 테스트 도구입니다.
- 완화 방법: 웹 애플리케이션을 정기적으로 패치하고, 침투 테스트를 수행하며, 비정상적인 무차별 대입 활동을 모니터링하세요.
CMSeek: 테스트 과정에서 CMS 취약점을 탐색하고 악용하는 데 특화되어 있습니다.
- 완화 방법: CMS 플랫폼을 최신 상태로 유지하고, 설정을 안전하게 관리하며, 보안 플러그인으로 무차별 대입 시도를 제한하세요.
토큰, 소셜 미디어, 기타 도구
JWT Cracker를 깨는 도구: 테스트 목적으로 JSON Web Token을 크래킹하는 데 특화된 도구입니다.
- 완화 방법: JWT 서명에 길고 안전한 키를 사용하고, 토큰 만료 시간을 짧게 설정하며, 취약하거나 서명되지 않은 알고리즘은 거부하세요.
SocialBox: 소셜 미디어 계정 무차별 대입 테스트에 사용됩니다.
- 완화 방법: 로그인 실패 후 계정 잠금을 활성화하고, 2단계 인증을 적용하며, 피싱 인식 교육을 통해 사용자를 보호하세요.
예측자: 무차별 대입 공격에 사용할 맞춤형 단어 목록을 생성하는 딕셔너리 빌더 도구.
- 완화 방법: 자격 증명 유출을 모니터링하고, 취약한 기본 비밀번호 사용을 금지하며, 정기적인 보안 감사를 시행하세요.
파타토르: 다양한 프로토콜과 방식을 지원하는 다목적 무차별 대입 공격 도구.
- 완화 방법: 요청 속도 제한, 커스텀 오류 메시지, 강력한 계정 잠금 정책을 적용해 공격자의 시도를 차단하세요.
Nettracker: 무차별 대입 공격을 포함한 다양한 침투 테스트 작업을 자동화하는 도구.
- 완화 방법: 네트워크 로그를 정기적으로 모니터링하고, 테스트용 자격 증명을 분리하며, 침투 테스트 도구를 안전하게 관리하세요.
마무리: 고급 무차별 대입 공격 예방 조치
행동 분석 소프트웨어, 허니팟, IP 평판 차단기 같은 고급 도구를 활용하면 위협이 실제 피해로 이어지기 전에 탐지하고 차단할 수 있습니다. 이러한 사전 예방 조치는 다단계 인증, 강력한 비밀번호 정책 같은 기본 대응 수단과 함께 작동하며, 전체 방어 체계를 한층 탄탄하게 만들어 줍니다.
무차별 대입 공격을 막는 방법은 장기적인 관점에서 생각해야 합니다. 효과적인 전략과 공격 방지 도구를 함께 사용하면 가장 집요한 공격자로부터도 시스템을 지킬 수 있습니다. 항상 경계를 늦추지 말고 변화에 적응하며, 사이버 보안을 미래를 위한 투자로 여기세요.
