[보안] 패스워드 공격유형: 사전공격, 무차별 공격, 백도어, 사회공학, 스니핑, 패스워드 파일 접근

요약

 

[ Contents ]

 

 

1. 사전 공격 (Dictionary Attacks)

패스워드로 사용할 만한 문자열을 사전(Dictionary)으로 만들고, 이를 하나씩 대입하는 공격 방식

 

 군대의 비밀번호는 q1w2e3r4! 아니면 q1w2e3r4@이라는 설이 있을 정도로, 자주 사용하는 비밀번호 패턴이 있죠.

 이를 모아둔 파일이 '패스워드 사전'입니다. 사전에 있는 문자열을 하나씩 사용하면서 패스워드 알아내는 공격방식입니다.

 

 사전 공격의 대응책은 '솔트(Salt)'입니다. 패스워드는 고유값이 아니기 때문에, 동일한 패스워드가 있을 수 있으며 해시값도 동일합니다. 이는 해커에게 힌트가 될 수 있으며, 미리 계산한 해시값을 사용해서 패스워드를 알아낼 수 있습니다.

 따라서 각 패스워드에 고유한 솔트값을 주어, 동일한 패스워드라도 다른 해시값을 갖도록 하는 대응책입니다.

 

 

 

2. 무차별 공격 (Brute Force Attacks)

반복되는 문자 조합으로 일치되는 패스워드를 찾는 공격 방식

 

 알파벳(대소문자 52개), 숫자 10개, 특수문자 18개를 조합해서 거의 모든 경우의 수를 탐색하는 방식입니다. (브루트포스)

 하지만 요즘은 로그인 실패 횟수가 정해져 있기 때문에, 해당 공격이 잘 쓰이진 않습니다.

 

 

 

3. 백도어 (Backdoor)

트로이목마 등의 방법으로 키보드 입력을 후킹(Hooking)하는 공격 방식

 

 LoL에서 몰래 뒤로 돌아가서 본진을 터는 공격을 '백도어'라고 하죠. '백도어'는 후문이라는 뜻으로, 정문 말고 몰래 우회해서 접근하는 공격 방식을 말합니다.

 주로 멀웨어나 트로이목마와 같은 툴을 이용하며, 이를 통해 사용자의 입력을 감시하고 데이터를 도용합니다. (Hooking)

 대응책은 멀웨어나 트로이목마와 같은 악성코드에 감염되지 않도록 주의하고, 백신 프로그램 검사 등의 기본 보안조치가 될 수 있습니다.

 

 

 

4. 사회공학 (Social Engineering)

인간관계나 개인의 심리를 이용해서 패스워드를 알아내는 공격 방식

 

 보안의 허점은 시스템이 아니라 사실 '인간'에게 있는 경우가 많습니다. 주변 사람으로 위장해서 비밀번호를 물어보거나, 사용자에게 혼란을 줘서 비밀번호를 실토하게 만드는 등... 사용자를 직접 공격하는 방식입니다.

 대표적인 예시로는 보이스 피싱이나 피싱 사이트가 있습니다.

 

 

 

5. 스니핑 (Sniffing)

네트워크 상에서 평문 패스워드를 훔치는 공격 방식

 

 스니핑은 네트워크 상 패킷을 가로채서 훔치는 공격 유형입니다. 이를 통해 비밀번호 정보를 훔칠 수 있습니다.

 

2023.05.16 - [CS] - [보안] 스니핑, 스누핑, 스푸핑의 개념과 차이점, 종류: IP, MAC, ARP, DNS 스누핑

[보안] 스니핑, 스누핑, 스푸핑의 개념과 차이점, 종류: IP, MAC, ARP, DNS 스누핑

 

 

 

6. 패스워드 파일 접근

패스워드가 저장된 파일을 조작하는 공격 방식

 

 인증서버 내 패스워드 파일을 노리는 공격 방식입니다. 해당 파일에는 수많은 사용자의 패스워드가 저장되어 있으므로, 이를 조작할 경우 비밀번호가 유출되거나 다른 비밀번호로 바뀔 수 있습니다.

 이를 방지하기 위해서 접근통제 메커니즘을 강화하거나, 암호화 강도를 높여야 합니다.