무차별 대입 공격이란 무엇인가요?

   무차별 대입 공격은 해커가 시행착오를 통해 계정이나 암호화된 데이터에 무단으로 액세스하려고 시도하는 사이버 공격의 한 유형으로, 해커는 올바른 비밀번호를 찾을 때까지 여러 로그인 자격 증명이나 암호화 키를 시도합니다. 무차별 대입 공격은 종종 웹사이트 로그인 페이지, 보안 셸(SSH) 서버 또는 비밀번호로 보호된 파일과 같은 인증 시스템을 표적으로 삼습니다. 
 

소프트웨어 취약성을 악용하는 다른 사이버 공격과 달리 무차별 대입 공격은 컴퓨팅 성능과 자동화를 활용하여 비밀번호나 키를 추측합니다. 기본적인 무차별 암호 대입 시도는 자동화된 스크립트나 봇을 사용하여 분당 수천 개의 비밀번호 조합을 테스트하는데, 이는 마치 도둑이 자물쇠가 열릴 때까지 가능한 모든 조합을 시도하는 것과 같습니다.

약하거나 간단한 비밀번호는 작업을 더 쉽게 만드는 반면, 강력한 비밀번호는 이러한 유형의 공격을 매우 시간이 많이 걸리거나 비실용적으로 만들 수 있습니다. 그러나 더욱 발전된 무차별 대입 기술이 지속적으로 개발되고 있습니다.

오늘날 점점 심화되는 사이버 위협의 속도와 규모를 보여주는 사례로, Microsoft는 초당 평균 4,000건의 신원 공격을 차단하고 있습니다. 그러나 공격자들은 계속해서 한계를 뛰어넘고 있습니다. 특수 비밀번호 크래킹 장비는 동일한 시간 동안 약 7조 2500억 번의 비밀번호 시도를 수행할 수 있습니다.

그리고 이제 양자 컴퓨팅 과 포스트 퀀텀 암호화의 필요성으로 인해 무차별 대입 공격은 더 이상 기존 하드웨어에 의해 제한되지 않습니다. RSA 암호화와 같은 최신 인증 암호화 방식은 큰 숫자를 소인수분해하는 계산적 난이도에 기반하고 있습니다.

현재의 컴퓨팅 파워로는 2048비트를 초과하는 수를 소인수분해하는 데 수십억 년이 걸릴 것입니다. 하지만 약 2천만 큐비트 정도의 충분히 고도화된 양자 컴퓨터라면 2048비트 RSA 키를 몇 시간 만에 해독할 수 있습니다.

무차별 암호 대입 공격은 보안 방어의 가장 취약한 고리인 사람이 선택한 비밀번호와 제대로 보호되지 않는 계정을 노리기 때문에 심각한 사이버 보안 위협입니다.

무차별 대입 공격이 성공하면 즉각적인 무단 액세스로 이어질 수 있으며, 공격자가 사용자를 가장하거나 민감한 데이터를 훔치거나 네트워크에 더 많이 침투할 수 있습니다. 또한 더 복잡한 해킹과 달리, 무차별 대입 공격은 상대적으로 높은 기술력이 필요하지 않고 인내심과 자원만 있으면 수행할 수 있습니다.

무차별 암호 대입 공격의 주요 위험 중 하나는 손상된 하나의 계정이 연쇄적으로 영향을 미칠 수 있다는 점입니다. 예를 들어, 사이버 범죄자가 관리자의 자격 증명을 무차별 대입하면 이를 사용하여 다른 사용자 계정을 침해할 수 있습니다.

일반 사용자 계정이라도 일단 액세스하면 개인 식별 정보가 노출되거나 더 많은 권한을 가진 액세스 권한의 징검다리 역할을 할 수 있습니다. 많은 데이터 유출 및 랜섬웨어 인시던트는 공격자가 원격 데스크톱 프로토콜(RDP) 또는 VPN 로그인과 같은 원격 액세스 계정을 무차별 대입하여 크랙하는 것에서 시작됩니다. 공격자는 일단 내부에 들어가면 맬웨어, 랜섬웨어를 배포하거나 단순히 시스템을 잠글 수 있습니다.

무차별 대입 공격은 시도 횟수 자체가 많기 때문에 네트워크 보안 측면에서도 우려를 낳습니다.과도한 네트워크 트래픽(네트워크 노이즈)은 인증 시스템을 마비시키거나 다른 더 은밀한 사이버 공격을 가리기 위한 연막 작전으로도 활용될 수 있습니다.

최근 연구진은 전 세계적으로 약 300만 개의 고유 IP 주소를 활용해 VPN 및 방화벽을 대상으로 하는 대규모 무차별 대입 캠페인이 진행된 사례를 관찰했습니다. 이는 이러한 공격이 얼마나 거대하고 분산될 수 있는지를 보여줍니다.

일반적으로는 사용자 비밀번호 시도의 대규모 실패가 보안 담당자에게 탐지되겠지만, 공격자는 이를 숨기는 다양한 방법을 사용합니다. 예를 들어, 감염된 컴퓨터 네트워크인 봇넷(botnet)이나 개별 봇을 사용해 공격 시도를 여러 출처(예: 소셜 미디어 계정)로 분산시킵니다. 이로 인해 악의적인 로그인 시도가 정상 사용자 행동처럼 보이게 됩니다. 

무차별 대입 공격은 그 자체로도 심각하지만 다른 공격 전술과 결합되는 경우가 많다는 점도 주목해야 합니다. 예를 들어, 공격자는 피싱으로 한 계정의 자격 증명을 탈취하고 다른 계정에는 무차별 대입 공격을 사용할 수 있습니다. 또는 무차별 대입 공격으로 얻은 탈취된 비밀번호를 이용해 다른 곳에서 피싱 사기나 사기 행위를 진행할 수도 있습니다.

무차별 암호 대입 공격이 어떻게 작동하는지 이해하려면 공격자가 테스트해야 하는 가능한 비밀번호 조합의 엄청난 양을 생각해 보면 됩니다. 무차별 암호 대입 공격은 매우 빠른 속도로 자격 증명을 생성하고 확인하는 방식으로 이루어집니다. 공격자는 먼저 "password"나 "123456" 같은 흔한 비밀번호부터 시도한 뒤, 가능한 모든 문자 조합을 체계적으로 생성해 올바른 비밀번호를 찾을 때까지 진행합니다.

현대의 공격자들은 멀티코어 컴퓨터 처리 장치(CPU)부터 클라우드 컴퓨팅 클러스터까지 상당한 컴퓨팅 파워를 활용하여 이 과정을 가속화합니다.

예를 들어, 소문자만 사용하는 6자리 비밀번호는 26^6가지의 조합이 가능합니다. 이는 약 3억 800만 개의 조합입니다. 오늘날의 하드웨어로는 이 정도 조합은 거의 즉각적으로 시도할 수 있기 때문에 6자리 약한 비밀번호는 순식간에 해독될 수 있습니다.

반면, 대소문자 혼용, 숫자, 특수 문자가 포함된 더 긴 비밀번호는 가능한 조합 수가 기하급수적으로 증가하여 이를 정확히 추측하는 데 필요한 시간과 노력이 크게 증가합니다. 

위험한 것은 비밀번호만이 아닙니다. 무차별 대입 방법은 가능한 모든 키 조합(즉, "키 스페이스")을 철저히 검색하여 파일을 복호화하거나 암호화 키를 찾는 데도 사용됩니다. 이러한 공격의 성공 가능성은 키 길이와 알고리즘의 강도에 따라 달라집니다. 예를 들어, 128비트 암호화 키는 천문학적으로 많은 경우의 수를 가지므로 현재 기술로는 무차별 대입으로 이를 해독하는 것이 사실상 불가능합니다.

실제로 무차별 대입 공격은 깨지지 않는 암호화 알고리즘을 해독해서 성공하는 경우보다, 일반적인 비밀번호 추측, 비밀번호 재사용, 잠금 기능이 없는 시스템을 노리는 등 인간적인 요인을 악용하는 경우가 더 많습니다.

무차별 대입 기법은 두 가지 상황에 적용될 수 있습니다. 온라인 공격(실시간으로 운영 중인 시스템을 대상으로 시도하는 공격)과 오프라인 공격(해시된 비밀번호와 같이 도난당한 데이터를 이용하는 공격, 비밀번호로부터 생성된 짧고 고정된 코드로 역산하기 거의 불가능한 형태)입니다.

온라인 공격에서는 해커가 웹 애플리케이션 로그인이나 SSH 서비스와 같은 대상 시스템과 실시간으로 상호 작용하며 비밀번호를 시도합니다. 공격 속도는 네트워크 지연과 방어 메커니즘에 의해 제한됩니다.

예를 들어, 속도 제한은 일정 시간 동안 시도할 수 있는 횟수를 제한하고, CAPTCHA는 사람과 봇을 구분하는 인증 방법입니다. 공격자는 온라인 시도를 여러 IP 주소로 분산시키거나 봇넷을 사용하여 IP 기반 차단이 발생하지 않도록 회피합니다.

오프라인 공격에서는 공격자가 이미 암호화된 데이터나 비밀번호 해시(예: 데이터 유출로부터)를 확보한 상태에서 대상 시스템에 알림을 주지 않고 자신의 머신에서 초당 수백만 또는 수십억 번의 시도를 할 수 있습니다. 이러한 무차별 대입 전략을 지원하는 전문적인 비밀번호 크래킹 툴(일반적으로 오픈 소스)이 존재합니다.

예를 들어, John the Ripper, Hashcat, Aircrack-ng는 무차별 대입 비밀번호 크래킹을 자동화하는 인기 툴입니다. 이러한 툴은 알고리즘을 사용해 방대한 시도를 관리하고, 그래픽 처리 장치(GPU)를 활용하여 비밀번호를 해시하고 비교하는 작업을 놀라운 속도로 수행합니다.

무차별 대입 공격은 여러 형태가 있으며, 각각은 다른 전략으로 자격 증명을 추측하거나 재사용하여 무단 접근을 시도합니다.

이 접근 방식은 허용된 모든 문자 조합을 순차적으로 시도하여 가능한 모든 비밀번호를 테스트합니다. 간단한 무차별 대입 공격(또는 완전 탐색이라고도 함)은 비밀번호에 대한 사전 지식 없이 “aaaa…”, “aaab…”, “zzzz…”와 같은 조합을 문자 집합에 따라 숫자나 기호까지 포함하여 체계적으로 시도합니다.

충분한 시간이 주어지면 간단한 무차별 대입 공격으로도 여러 차례 시행착오를 거쳐 올바른 자격 증명을 찾을 수 있을 것입니다. 그러나 비밀번호가 길거나 복잡한 경우 시간이 매우 많이 소요될 수 있습니다.

모든 가능한 비밀번호 조합을 무작정 시도하는 대신, 사전 공격은 가능한 비밀번호 목록(“사전”)을 사용하여 추측을 빠르게 진행합니다. 

공격자는 “admin”, “letmein”, “password123”와 같은 일반적인 단어, 구문 및 비밀번호 목록을 수집합니다. 많은 사용자가 단순하거나 사전에 흔히 나오는 단어를 기반으로 약한 비밀번호를 선택하기 때문에, 이 방법은 빠른 성공을 거둘 수 있습니다.

하이브리드 공격은 사전 공격과 단순 무차별 대입 방법을 결합한 방식입니다. 공격자는 가능성 있는 기본 단어 목록에서 시작해 그 주변에 무차별 대입 방식으로 변형을 적용합니다. 예를 들어, “spring”이라는 단어를 대문자, 숫자 또는 특수 문자를 추가하여 “Spring2025!”와 같은 형태로 변형해 복잡성 요구 사항을 만족시키며 시도합니다.

자격 증명 스터핑은 무차별 대입 공격의 특수한 변형으로, 공격자가 하나의 침해 사고에서 탈취한 로그인 자격 증명(사용자 이름과 비밀번호 쌍)을 다른 웹사이트나 서비스에 시도하는 방식입니다. 새로운 비밀번호를 추측하는 대신, 공격자는 이미 알려진 비밀번호를 여러 로그인 폼에 입력하며, 많은 사람들이 서로 다른 계정에서 동일한 자격 증명을 사용하는 경우가 많다는 점에 기대를 겁니다.

레인보우 테이블 공격(rainbow table attack)은 미리 계산된 해시 테이블을 사용해 컴퓨팅 시간을 메모리로 대체하는 오프라인 비밀번호 크래킹 기술입니다. 공격자는 예상 비밀번호를 실시간으로 해싱하는 대신, 다양한 가능한 비밀번호에 대한 해시 값이 저장된 대형 조회 테이블인 “레인보우 테이블”을 사용하여 해시 값을 원래 비밀번호와 빠르게 일치시킵니다. 

역 무차별 대입 공격에서는 해커가 일반적인 공격 방식을 반대로 사용합니다. 하나의 사용자에 대해 여러 비밀번호를 시도하는 대신, 하나의 비밀번호(또는 소수의 비밀번호 세트)를 여러 사용자 계정에 대해 시도합니다.

비밀번호 스프레이는 역무차별 대입 기법의 더 은밀한 버전입니다. 공격자는 “Summer2025!”와 같은 소수의 일반적인 비밀번호 목록을 여러 계정에 걸쳐 시도합니다. 이를 통해 공격자는 단일 계정에서 잠금 보호 기능을 활성화시키지 않고 여러 사용자를 동시에 공격할 수 있습니다.

조직은 무차별 암호 대입 시도로부터 보호하기 위해 여러 가지 보안 조치를 구현할 수 있습니다. 주요 사례는 다음과 같습니다.

계정 잠금 규칙이나 암호화 같은 추가적인 방어 장치는 무차별 대입 침투를 억제하는 데 도움이 됩니다. 인적 요소와 기술적 요소를 모두 고려한 다층적 접근 방식을 채택하면, 조직은 무차별 대입 공격으로부터 더 효과적으로 보호할 수 있습니다.