무차별 대입 공격

단순 무차별 대입 공격은 가장 기본적인 형태의 무차별 대입 공격으로, 공격 대상이 될 수 있는 모든 가능한 조합을 순차적으로 시도하여 올바른 값을 찾아내는 방법이다. 예를 들어, 특정 길이의 비밀번호를 해독하기 위해 'aaaa'부터 'zzzz'까지 모든 알파벳 조합을 하나씩 입력해 보는 방식이다. 이 방법은 원리적으로는 언젠가는 올바른 답을 찾을 수 있지만, 시도해야 할 경우의 수가 기하급수적으로 많아질 경우 현실적인 시간 내에 성공하기 어려운 단점이 있다.

공격의 효율성은 탐색 공간의 크기에 직접적으로 영향을 받는다. 탐색 공간은 비밀번호의 길이, 사용 가능한 문자 종류(예: 소문자, 대문자, 숫자, 특수문자)에 따라 결정된다. 예를 들어, 4자리 숫자로만 구성된 PIN 번호는 0000부터 9999까지 총 10,000가지 경우의 수만 존재하므로 비교적 빠르게 크래킹될 수 있다. 반면, 8자리 이상의 복잡한 비밀번호는 경우의 수가 천문학적으로 늘어나 단순 무차별 대입으로는 실용적이지 않다.

이러한 공격을 방어하기 위한 가장 기본적인 조치는 사용자에게 충분히 길고 복잡한 비밀번호를 사용하도록 권장하는 것이다. 비밀번호 정책을 통해 최소 길이와 다양한 문자 집합 사용을 강제하면, 탐색 공간이 크게 확장되어 단순 무차별 대입 공격에 소요되는 예상 시간을 현실적으로 불가능한 수준으로 늘릴 수 있다. 또한, 로그인 시도 횟수를 제한하거나 실패 시 지연 시간을 두는 것도 이 공격을 효과적으로 억제하는 방법이다.

사전 공격은 무차별 대입 공격의 한 종류로, 가능한 모든 조합을 무작위로 시도하는 대신, 미리 준비된 단어 목록을 사용하여 인증 정보를 추측하는 방법이다. 이 공격은 사람들이 흔히 사용하는 약한 비밀번호나 일반적인 단어 조합을 목표로 하기 때문에, 단순 무차별 대입 공격보다 훨씬 효율적이고 빠르게 성공할 수 있다. 공격자는 자주 사용되는 비밀번호 목록이나 특정 언어의 사전, 과거 유출된 자격 증명 데이터베이스에서 추출한 단어 목록을 공격에 활용한다.

사전 공격의 효율성은 사용자의 비밀번호 습관에 크게 의존한다. 많은 사용자가 기억하기 쉬운 단어나 간단한 숫자 조합을 비밀번호로 설정하는 경향이 있으며, 이는 사전 공격에 매우 취약하다. 예를 들어, 'password', '123456', 'qwerty'와 같은 흔한 문자열이나, 생일, 이름, 'welcome1'과 같은 예측 가능한 패턴은 사전 목록에 포함될 가능성이 매우 높다. 따라서 이러한 약한 비밀번호를 사용하는 계정은 사전 공격으로 쉽게 침해될 위험이 있다.

사전 공격을 방어하기 위한 주요 대응 방안은 강력한 비밀번호 정책을 적용하는 것이다. 시스템은 사용자에게 최소 길이, 대소문자, 숫자, 특수문자의 혼용을 요구하여 예측하기 어려운 비밀번호를 생성하도록 유도해야 한다. 또한, 다중 인증을 도입하면 비밀번호가 유출되더라도 추가 인증 단계를 통해 보안을 강화할 수 있다. 관리자 차원에서는 계정 잠금 정책이나 로그인 시도 횟수 제한을 구현하여, 짧은 시간 내에 반복된 실패 시도를 차단하는 것이 효과적이다.

이 공격 방식은 하이브리드 공격과도 밀접한 관련이 있다. 하이브리드 공격은 사전에 있는 단어에 숫자나 기호를 덧붙여 변형을 시도하는 방식으로, 사전 공격의 한계를 보완한다. 반면, 레인보우 테이블 공격은 미리 계산된 해시 값 테이블을 사용하는 방식으로, 사전 공격과 원리가 유사하지만 주로 해시 함수로 저장된 비밀번호를 대상으로 한다는 점에서 차이가 있다.

하이브리드 공격은 사전 공격과 단순 무차별 대입 공격의 방식을 결합한 공격 기법이다. 이 방법은 미리 준비된 단어 목록(사전)을 기반으로 하되, 각 단어에 숫자나 특수문자와 같은 변형을 추가하여 가능성을 확장한다. 예를 들어, "password"라는 단어에 "password123", "password!", "password2024"와 같은 변형을 체계적으로 생성하여 시도한다. 이는 순수한 사전 공격이 실패할 경우를 대비한 보다 강력한 접근법이다.

이 공격의 핵심은 변형 규칙을 정의하는 것이다. 공격자는 사용자가 흔히 사용하는 패턴을 분석하여 규칙을 설정한다. 대표적인 변형 규칙으로는 단어 뒤에 연도를 붙이기, 특정 문자를 숫자나 기호로 치환하기(예: 'a'를 '@'로, 's'를 '$'로), 단어의 첫 글자를 대문자로 바꾸기 등이 있다. 이러한 규칙을 자동화된 도구에 적용하면, 하나의 기본 단어로부터 수백, 수천 가지의 변형된 비밀번호 후보를 빠르게 생성해 낼 수 있다.

하이브리드 공격은 사용자의 심리를 효과적으로 공략한다. 많은 사용자가 기억하기 쉬운 단어를 비밀번호의 베이스로 사용하면서도, 보안 정책을 만족시키기 위해 끝에 간단한 숫자나 기호를 추가하는 경향이 있기 때문이다. 따라서 "사전에 있는 단어 + 예측 가능한 변형" 조합은 상당히 높은 성공률을 보인다. 이는 순수한 무차별 대입보다 훨씬 효율적이며, 순수한 사전 공격보다는 더 넓은 범위를 커버할 수 있다.

이러한 공격에 대응하기 위해서는 단순한 변형으로도 예측 가능한 비밀번호를 사용해서는 안 된다. 솔트 처리된 해시 함수를 사용하면 동일한 비밀번호라도 저장값이 달라져 레인보우 테이블 공격을 무력화시키는 데 도움이 되며, 다중 인증을 적용하면 비밀번호 자체가 유출되더라도 추가적인 장벽을 만들 수 있다.

레인보우 테이블 공격은 해시 함수로 암호화된 비밀번호를 복구하기 위해 사용되는 특수한 형태의 사전 공격이다. 이 공격은 기존의 사전 공격이나 단순 무차별 대입 공격과 달리, 미리 계산된 해시 값과 평문 비밀번호의 대응표를 사용하여 공격 시간을 획기적으로 단축시킨다. 공격자는 암호화된 해시 값을 레인보우 테이블에서 검색하여 대응되는 원본 비밀번호를 빠르게 찾아낼 수 있다.

이 공격의 핵심은 레인보우 테이블이라는 데이터 구조에 있다. 레인보우 테이블은 가능한 비밀번호들을 해시 함수로 변환한 결과를 모두 저장하는 것이 아니라, 해시 체인이라는 축약된 형태로 저장하여 저장 공간을 절약한다. 테이블을 생성할 때는 특정 감축 함수를 사용하여 해시 값을 다시 평문 후보로 변환하는 과정을 반복하여 체인을 만든다. 공격 시에는 목표 해시 값을 같은 방식으로 체인화하여 테이블 내에서 일치하는 지점을 찾고, 해당 체인의 시작점부터 계산을 다시 수행하여 최종적으로 원본 비밀번호를 역추적한다.

레인보우 테이블 공격의 가장 효과적인 대응 방안은 솔트를 사용하는 것이다. 비밀번호를 해시화하기 전에 각 사용자마다 고유한 무작위 데이터인 솔트를 추가하면, 동일한 비밀번호라도 해시 값이 전혀 달라진다. 이로 인해 미리 준비된 표준 레인보우 테이블이 완전히 무용지물이 되며, 공격자가 특정 계정을 공격하기 위해서는 해당 계정의 솔트를 적용한 새로운 테이블을 처음부터 생성해야 하는 엄청난 부담이 생긴다. 따라서 현대 시스템에서는 솔트 처리된 해시 함수 사용이 필수적인 보안 조치로 자리 잡았다.

비밀번호 크래킹은 무차별 대입 공격의 가장 대표적인 적용 사례이다. 이는 사용자의 계정에 접근하기 위해 비밀번호를 추측하는 과정으로, 가능한 모든 문자, 숫자, 특수문자의 조합을 체계적으로 생성하여 로그인 시스템에 반복적으로 시도하는 방식으로 이루어진다. 공격의 성공 가능성은 비밀번호의 길이와 복잡성에 직접적으로 의존하며, 짧고 단순한 비밀번호일수록 매우 빠른 시간 내에 크래킹될 위험이 크다.

공격자는 주로 자동화된 스크립트나 크래킹 도구를 활용하여 초당 수천, 수만 건의 로그인 시도를 가능하게 한다. 이러한 공격은 온라인 상태의 웹사이트나 서버에 직접 시도될 수도 있으며, 오프라인 공격으로는 유출된 해시 값 데이터베이스를 대상으로 수행되기도 한다. 오프라인 공격의 경우 네트워크 지연이나 계정 잠금 정책의 제약을 받지 않아 훨씬 더 빠른 속도로 공격이 진행될 수 있다.

비밀번호 크래킹에 대한 효과적인 방어는 다층적으로 이루어져야 한다. 시스템 측면에서는 계정 잠금 정책이나 로그인 시도 횟수 제한을 구현하여 온라인 공격을 억제할 수 있다. 더 근본적으로는 사용자에게 충분한 길이와 복잡성을 가진 비밀번호를 사용하도록 유도하고, 가능한 경우 다중 인증을 필수화하는 것이 중요하다. 또한, 서버 측에서 비밀번호를 저장할 때는 솔트 처리된 강력한 해시 함수를 사용하여 유출되더라도 오프라인 무차별 대입 공격을 어렵게 만들어야 한다.

암호 키 찾기는 무차별 대입 공격의 주요 목적 중 하나로, 암호화된 데이터를 해독하거나 보안 시스템을 우회하기 위해 사용되는 암호화 키를 찾아내는 과정이다. 이 공격은 특정 암호 알고리즘에 사용된 키의 가능한 모든 조합을 체계적으로 시도하여 올바른 키를 발견하려 한다. 키의 길이와 복잡도에 따라 소요 시간이 기하급수적으로 증가하지만, 충분한 컴퓨팅 자원과 시간이 주어지면 이론상 모든 키를 찾아낼 수 있다는 점에서 위협적이다.

이 공격의 대상이 되는 암호화 키는 대칭키 암호와 비대칭키 암호 시스템 모두에 적용될 수 있다. 예를 들어, AES나 DES와 같은 대칭키 암호에서 키를 찾아내면 관련된 모든 데이터를 복호화할 수 있다. 공격자는 키 공간(사용 가능한 모든 키의 집합)을 완전히 탐색하기 위해 고성능 컴퓨팅 클러스터나 분산 컴퓨팅 네트워크, GPU를 활용하기도 한다.

암호 키에 대한 무차별 대입 공격을 방어하기 위한 핵심 전략은 키의 길이를 충분히 늘리고, 키 생성에 의사 난수 생성기를 사용하여 예측 불가능하게 만드는 것이다. 현대 암호학에서는 128비트 이상의 키 길이가 권장되며, 이는 무차별 대입을 통한 공격을 현실적으로 불가능하게 만든다. 또한, 키 관리 체계를 강화하고 불필요하게 키를 노출하지 않는 것도 중요한 대응 방안이다.

무차별 대입 공격은 암호화된 비밀번호나 암호 키를 찾는 데만 국한되지 않는다. 이 공격 기법은 웹 애플리케이션이나 API의 숨겨진 엔드포인트나 취약점을 발견하는 데도 악용될 수 있다. 공격자는 자동화된 도구를 사용해 가능한 모든 URL 경로나 파라미터 값을 체계적으로 생성하여 서버에 요청을 보낸다. 이 과정에서 정상적인 사용자나 개발자 문서에 공개되지 않은 관리자 페이지, 디버그 모드, 데이터를 노출시키는 엔드포인트 등을 발견할 수 있다.

이러한 공격은 특히 보안 설정이 미비한 REST API나 GraphQL 인터페이스를 대상으로 한다. 공격자는 예를 들어, '/api/users/[id]'와 같은 패턴에서 [id] 부분을 1부터 순차적으로 증가시키며 요청하여 권한 없이도 다른 사용자의 개인 정보에 접근을 시도할 수 있다. 또한, 로그인, 비밀번호 재설정, 회원가입 등 입력값을 검증하는 폼에서 SQL 인젝션이나 명령어 인젝션과 같은 취약점을 찾기 위해 다양한 특수 문자와 긴 문자열을 무차별적으로 입력하기도 한다.

이러한 탐색 공격에 효과적으로 대응하기 위해서는 서버 측에서 접근 제어와 입력값 검증을 철저히 해야 한다. 모든 API 엔드포인트는 적절한 인증과 권한 부여 메커니즘 뒤에 보호되어야 하며, 존재하지 않는 경로에 대한 요청은 명확한 오류 메시지 대신 일반화된 응답을 반환하는 것이 좋다. 또한, 단시간 내에 동일한 IP 주소나 사용자로부터 비정상적으로 많은 요청이 들어오는 경우, 해당 세션을 차단하거나 속도 제한을 적용하는 것이 필수적인 대응 방안이다.

복잡한 비밀번호 정책은 무차별 대입 공격에 대한 가장 기본적이고 효과적인 대응 방안 중 하나이다. 이는 사용자가 생성하는 비밀번호의 예측 가능성을 낮추어 공격자가 모든 가능한 조합을 시도하는 데 필요한 시간과 자원을 기하급수적으로 증가시키는 것을 목표로 한다.

일반적인 복잡한 비밀번호 정책은 다음과 같은 요구사항을 포함한다.

이러한 정책은 공격자가 시도해야 할 조합의 가짓수를 크게 늘린다. 예를 들어, 숫자만 4자리로 구성된 비밀번호는 10,000가지 조합이지만, 대소문자와 숫자, 특수문자를 포함한 8자리 비밀번호는 수십 조 가지가 넘는 조합이 가능해져 실질적인 공격을 매우 어렵게 만든다.

그러나 지나치게 복잡한 정책은 사용자에게 부담을 줄 수 있으며, 오히려 예측 가능한 패턴으로 비밀번호를 생성하거나 메모를 하게 만드는 역효과를 낳을 수도 있다. 따라서 보안성과 사용 편의성 사이의 균형을 고려한 정책 수립이 중요하다. 최근에는 암호 관리자 사용을 장려하거나, 다중 인증과 같은 다른 보안 수단과 결합하여 비밀번호에만 의존하는 보안 체계를 보완하는 추세이다.

특정 시간 내에 허용된 횟수를 초과하여 로그인 시도가 발생하면, 해당 계정을 일정 시간 동안 잠그거나 로그인 시도를 차단하는 방법이다. 이는 무차별 대입 공격이 성공하기 위해서는 수많은 시도가 필요하다는 점을 이용한 방어 기제로, 공격자가 유효한 자격 증명을 찾기 전에 시도 자체를 차단한다.

구체적인 구현 방식은 다음과 같이 다양하다.

이러한 방법은 공격자의 시도 비용을 극적으로 높여 공격을 경제적으로 비실용적으로 만든다. 그러나 정상 사용자가 비밀번호를 잊어 일시적으로 여러 번 시도하는 경우에도 불편을 초래할 수 있어, 잠금 임계값과 지속 시간을 신중하게 설정해야 한다. 또한, 공격자가 다수의 IP 주소를 이용하거나 봇넷을 동원하면 IP 기반 차단의 효과가 제한될 수 있다.

따라서 이 방법은 다중 인증이나 행위 기반 분석과 같은 다른 보안 조치와 함께 다층적으로 적용될 때 가장 효과적이다.

다중 인증은 무차별 대입 공격에 대한 효과적인 대응 방안 중 하나이다. 이 방법은 사용자가 로그인할 때 비밀번호 외에 추가적인 인증 요소를 요구함으로써, 공격자가 비밀번호만 알아내는 것으로는 계정에 접근할 수 없도록 설계되었다. 예를 들어, 사용자의 스마트폰으로 전송되는 일회용 코드나 생체 인증과 같은 요소가 여기에 해당한다.

다중 인증은 크게 세 가지 유형의 인증 요소를 조합하여 사용한다. 첫째는 사용자가 알고 있는 정보(비밀번호), 둘째는 사용자가 소유한 물건(스마트폰, 보안 토큰), 셋째는 사용자 자신의 고유한 특성(지문, 홍채)이다. 이러한 요소 중 두 가지 이상을 요구하는 방식을 2단계 인증이라고도 부른다. 이는 단순히 비밀번호를 무차별로 시도하는 공격을 무력화시킨다.

따라서 다중 인증을 도입하면, 공격자가 무차별 대입 공격으로 비밀번호를 알아내더라도 두 번째 인증 단계를 통과하지 못하면 실제 침입이 불가능해진다. 이는 온라인 뱅킹이나 이메일 서비스, 중요한 기업 인프라에 접근할 때 널리 권장되는 보안 조치이다.

캡차는 무차별 대입 공격을 방어하는 데 효과적인 도구이다. 캡차는 사람과 컴퓨터 프로그램을 구분하기 위한 테스트로, 주로 왜곡된 텍스트나 이미지를 인식하거나 퍼즐을 풀도록 요구한다. 이는 자동화된 스크립트나 봇이 로그인 페이지나 API 엔드포인트에 무차별로 요청을 보내는 것을 방지한다. 특히 로그인, 회원가입, 비밀번호 재설정과 같이 인증이 필요한 과정에 캡차를 도입하면, 공격자가 자동으로 시도하는 것을 현저히 늦추거나 차단할 수 있다.

캡차는 여러 형태로 발전해 왔다. 초기에는 단순히 글자가 찌그러진 텍스트 기반 캡차가 주류였으나, 광학 문자 인식 기술의 발달로 이를 우회하는 공격이 등장했다. 이에 따라 이미지 선택형 캡차, 퍼즐 해결형, 행동 분석 기반의 보이지 않는 캡차 등 더 정교한 방식이 개발되었다. 예를 들어, 구글의 reCAPTCHA는 사용자의 마우스 이동 패턴이나 클릭 행동을 분석하여 봇 여부를 판단하기도 한다.

그러나 캡차도 완벽한 해결책은 아니다. 고도화된 머신 러닝과 인공지능을 이용하면 일부 캡차를 우회할 수 있으며, 저렴한 인력을 동원해 수동으로 캡차를 풀게 하는 서비스도 존재한다. 또한, 캡차는 사용자 경험을 저하시킬 수 있어, 필요 이상으로 사용하면 정상 사용자에게 불편을 초래할 수 있다. 따라서 캡차는 다중 인증이나 계정 잠금 정책 등 다른 보안 조치와 함께 다층적으로 적용하는 것이 바람직하다.

솔트 처리된 해시 함수 사용은 무차별 대입 공격에 대한 효과적인 대응 방안 중 하나이다. 이 방법은 사용자의 비밀번호를 저장할 때, 비밀번호 자체에 임의의 데이터인 솔트를 추가하여 해시 값을 생성하는 것을 핵심으로 한다. 솔트는 각 사용자마다 고유한 값을 가지며, 이는 동일한 비밀번호를 가진 사용자라도 데이터베이스에 저장되는 최종 해시 값이 서로 다르게 만들어준다.

이러한 방식은 특히 레인보우 테이블 공격을 무력화시키는 데 큰 효과가 있다. 레인보우 테이블은 미리 계산된 일반적인 비밀번호와 그 해시 값의 쌍을 모아놓은 공격 도구이다. 그러나 솔트가 추가되면, 공격자는 각각의 솔트 값에 대해 새로운 레인보우 테이블을 처음부터 다시 생성해야 하므로 공격에 필요한 시간과 자원이 기하급수적으로 증가하게 된다. 이는 사전 공격의 효율성도 현저히 떨어뜨린다.

솔트 처리는 단순 무차별 대입 공격 자체의 가능성을 차단하지는 않지만, 공격의 실질적인 난이도를 크게 높인다. 공격자는 특정 계정을 대상으로 할 때, 해당 계정에 부여된 특정 솔트 값을 알아야만 공격을 시도할 수 있다. 또한, 솔트는 비밀번호의 길이를 효과적으로 증가시켜 하이브리드 공격에 대한 저항력도 강화한다. 현대의 대부분의 시스템은 비밀번호를 저장할 때 솔트와 함께 해시 함수를 사용하는 것을 표준 보안 관행으로 채택하고 있다.

적절한 솔트 사용을 위해서는 몇 가지 원칙을 지켜야 한다. 솔트는 예측 불가능한 충분한 길이의 난수여야 하며, 사용자마다 반드시 다른 값을 가져야 한다. 또한, 이 솔트 값은 해시 값과 함께 안전하게 저장되어, 사용자가 로그인할 때 비밀번호를 검증하는 데 사용된다. 암호화 방식 중 키 스트레칭 기법과 결합하여 사용되면, 해시 값을 계산하는 데 필요한 시간을 의도적으로 지연시켜 무차별 대입 공격을 더욱 어렵게 만드는 추가적인 보안 계층을 제공할 수 있다.