[정보보안] 무차별 대입 공격(Brute Force Attack)
[정보보안] 무차별 대입 공격(Brute Force Attack)
최근 인터넷을 이용하며 다양한서비스 이용을 위한 개인정보 필수입력이 많이 요구되고 있습니다.많은 개인정보 및 계정정보들이 관리되지 않거나 방치되고 있는것이 현실입니다.
또한 정보도용 및 획득을 위한 다양한 공격시도와 이에따른 피해증가로 보안위협에 계정정보가 보안위협에 노출되어 있습니다.
이러한 사이트를 공격하는 방법으로 BFA(Brute Force Attack)이라는 방법을 많이 이용하는 추세입니다.
BFA의 정의
간단히 정의하면 시스템, 로그인 암호를 알아내기 위해 로그인에 성공할 때까지 모든 가능성 있는 값을 무차별 대입시도하는 해킹기술BFC의 특징
- 해킹기법중 가장 난이도가 낮으면서 가장 강력한 공격
- 현재 출시된 다양한 보안프로그램을 이용하더라도 Password Cracking으로부터 완전하게 안전하지 않음
- 계정탈취 및 시스템 과부하 발생이 가장 큰 이슈
BFC의 공격 추세
- Social Engineering / Shoulder Sniffing / dumpster diving
- Dictionary attack : 사전에 만들어진 password list 파일을 이용하여 대입 공격
- Hybrid attack : dictionary attack의 진보된 형태로 심볼 및 기호등을 포함
- Brute Force Attack : 무작위 대입 공격, 정확한 키를 찾을때까지 가능한 키를 조합시도
BFC의 방어 추세
- 비밀번호 설정시 최소 8자리 이상, 특수문자 포함 설정하도록 권고
- 보안코드 이미지를 사용하여 사용자가 입력하도록 유도
- 몇번의 로그인 시도 실패시 다른 페이지로 리다이렉트하여 로그인 제한
BFC의 사례
- 게임계정 해킹을 통한 아이템 탈취
- 실제 게임회사의 웹사이트 로그인 시도중 90% 이상이 Brute Force Attack
- John the Ripper(기본적인 패스워드 공격 툴)
출처
댓글
댓글 쓰기