비밀번호는 계정에 액세스하는 데 장벽이 되기 때문에 사이버 범죄자들이 비밀번호를 노리는 데 열중합니다. 비밀번호를 해독하는 행위는 매우 인기가 있지만, 여기에 사용할 수 있는 방법은 여러 가지가 있습니다.
그렇다면 어떤 방법으로 비밀번호를 해킹할 수 있으며, 이를 피할 수 있을까요?
비밀번호 크래킹이란 무엇인가요?
비밀번호 크래킹은 사이버 범죄자가 계정을 해킹할 수 있도록 사용자의 비밀번호를 알아내는 데 사용됩니다.
뱅킹, 소셜 네트워크, 쇼핑, 업무에 사용되는 계정 등 많은 계정이 비밀번호로 보호되므로 해커가 이 데이터를 손에 넣으려는 것은 당연한 일입니다.
비밀번호 크래킹을 입력하세요. 악의적인 공격자는 다양한 방법을 사용해 사용자의 실제 비밀번호를 알아낼 수 있으며, 이메일 주소나 사용자 아이디를 알고 있는 경우 계정에 액세스할 수 있습니다(걱정스러울 정도로 쉽게 알아낼 수 있음).
비밀번호의 복잡성에 따라 몇 초에서 수백만 년 이내에 해독될 수 있습니다. 단순한 비밀번호는 당연히 해독하기 쉬우므로 해커를 막기 위해 비밀번호를 효과적으로 구성하는 것이 중요합니다(이에 대해서는 나중에 설명하겠습니다).
가장 많이 사용되는 비밀번호 해독 방법
수년에 걸쳐 비밀번호 해독은 수많은 방법으로 다양해졌으며, 그 중 일부는 다른 방법보다 더 성공적이었습니다. 그렇다면 해커들이 비밀번호를 해독할 때 가장 일반적으로 사용하는 방법은 무엇일까요?
무차별 암호 대입 공격
무차별 암호 대입 공격은 사이버 범죄자들이 계정을 해킹할 때 자주 사용하는 방법입니다. 이 크래킹 방법은 주어진 비밀번호에 포함될 수 있는 모든 문자, 숫자 또는 기호의 가능한 조합을 실행하는 것입니다. 이는 본질적으로 시행착오를 거치는 방법 또는 제거 과정으로, 올바른 문구에 도달할 때까지 계속됩니다.
무차별 암호 대입 공격은 대소문자 또는 기호와 숫자가 섞이지 않은 비밀번호와 같이 단순한 비밀번호에 특히 효과적입니다.
무차별 암호 대입 공격은 1분 이내에 완료할 수 있지만, 이보다 더 오래 걸리는 경우도 많습니다. 일부 사이버 범죄자는 비밀번호의 가치에 따라 몇 주, 몇 달 또는 몇 년 동안 이 과정을 계속 진행하기도 합니다. 무차별 암호 대입 공격이 성공하면 해커가 올바른 비밀번호를 알아내어 원하는 모든 정보에 액세스할 수 있게 됩니다.
피싱
피싱은 널리 사용되는 사이버 범죄 수법이며 데이터 도난 및 바이러스 유포에 사용될 수 있습니다. 비밀번호 크래킹의 경우, 데이터 도난이 피싱 공격의 명백한 목표입니다.
피싱 공격은 일반적으로 이메일, SMS 또는 소셜 미디어(특히 DM)를 통해 이루어집니다. 로그인 자격 증명이 표적이 되는 경우, 공격자는 종종 공식 기관을 사칭한 커뮤니케이션을 표적에게 보냅니다.
예를 들어, 사기꾼은 피해자가 선택한 은행의 직원이라고 주장하며 이메일을 보낼 수 있습니다. 이메일에는 일반적으로 계정에서 비정상적인 활동이 감지되었으니 온라인에 로그인하여 본인인지 확인해야 한다고 명시되어 있습니다. 텍스트 아래에 의심되는 로그인 페이지로 연결되는 링크가 제공됩니다. 그러나 실제로는 공식 로그인 페이지와 거의 동일하게 보이도록 설계된 악성 피싱 페이지로 연결되는 링크이며, 사용자가 입력한 데이터도 도용합니다.
피해자가 사기에 넘어가면 피싱 페이지에 로그인 자격 증명을 입력하게 되고, 공격자는 이를 수집합니다. 이 시점에서 공격자는 피해자 계정의 사용자 이름과 비밀번호를 갖게 되어 무단으로 액세스할 수 있게 됩니다.
중간자 공격
이름에서 알 수 있듯이, 중간자 공격은 악의적인 공격자가 피해자와 애플리케이션 또는 웹사이트 사이에 자신을 배치하는 공격입니다.
중간자 공격은 다음과 같은 다양한 형태로 나타날 수 있습니다:
⭐ 이메일 하이재킹.
⭐ HTTPS 스푸핑.
⭐ HTML 스푸핑.
⭐ SSL 스푸핑.
⭐ Wi-Fi 스푸핑.
중간자 공격의 한 가지 형태는 악의적인 운영자가 사용자와 서버 간의 상호 작용을 적극적으로 도청하는 것을 포함합니다. 이러한 시나리오에서 공격자는 취약점을 통해 네트워크에 액세스한 다음 애플리케이션이나 사이트에서 보안 취약점을 검사합니다. 취약점이 발견되면 이를 타깃으로 삼은 다음, 사용자가 손상된 네트워크를 통해 앱 및 웹사이트와 상호 작용할 때 공격하기 시작합니다.
그런 다음 피해자가 어떤 종류의 데이터를 입력하거나 애플리케이션에서 데이터를 수신하면 공격자가 해당 데이터를 볼 수 있게 됩니다. 이 경우 비밀번호를 입력하면 공격자가 이를 검색할 수 있습니다. 이 데이터를 해독해야 하는 경우 다음 단계로 넘어갑니다. 이제 피해자의 데이터는 악의적인 운영자가 원하는 방식으로 사용할 수 있습니다.
키로깅
이미지 출처: 스톡 카탈로그/ Flickr
키로깅은 피해자가 데스크톱 PC, 노트북, 태블릿, 스마트폰 등의 디바이스에서 입력하는 모든 키 입력을 기록하는 데이터 도용 방법입니다.
키로거는 공격에 사용되는 악성 프로그램인 바이러스의 형태로 제공됩니다. 디바이스가 키로거에 감염되면 악의적인 운영자는 이메일, 결제 정보, 로그인 자격 증명 등 피해자가 입력하는 모든 내용을 볼 수 있습니다.
따라서 키로거에 감염된 장치에서 계정에 로그인하거나 단순히 노트 앱이나 비밀번호 관리자에 로그인 자격 증명을 입력하는 경우, 입력한 내용이 모두 공개될 수 있습니다. 그러면 공격자가 이 인증 정보를 탈취해 하나 이상의 온라인 계정에 액세스하는 데 사용합니다.
장치가 감염된 경우 데이터를 보호하려면 키로거를 탐지하고 제거하는 방법을 알아야 합니다.
비밀번호 해독을 피하는 방법
비밀번호 해독을 피하려면 당연히 사용하는 비밀번호부터 몇 가지 조치를 취해야 합니다. 모든 계정에 간단한 비밀번호를 사용하고 싶은 유혹이 있지만, 이렇게 하면 비밀번호 크래킹, 특히 무차별 암호 대입 공격에 크게 노출될 수 있습니다. 대부분의 웹사이트는 대소문자 혼용, 기호 및 숫자 사용, 전체 최소 길이 등 비밀번호 생성에 필요한 몇 가지 요건을 명시하고 있습니다.
이러한 요건은 반드시 지켜야 할 사항이지만, 비밀번호에 개인 정보(예: 생일, 이름 등)를 사용하는 것과 같이 피해야 할 다른 사항도 있습니다. 또한 모든 계정에 동일한 비밀번호를 사용하는 것도 피해야 합니다. 인증 정보가 공격자의 손에 들어가면 한 개 이상의 계정을 손상시켜 더 큰 피해를 입힐 수 있기 때문입니다.
비밀번호를 세분화하는 것 외에도 로그인 인증 정보를 도용하는 데 사용되는 피싱 커뮤니케이션을 식별하는 방법도 알아두어야 합니다. 항상 주의해야 할 몇 가지 징후는 다음과 같습니다:
⭐ 맞춤법 및 문법 오류.
⭐ 특이한 이메일 주소.
⭐ 제공된 링크.
⭐ 검사 사이트에서 악성이라고 강조 표시한 링크.
⭐ 지나치게 설득력 있는/긴급한 언어.
계정에 추가 보안 계층을 추가하기 위해 2단계 또는 다중 인증을 사용하는 것을 추가로 고려해야 합니다. 이렇게 하면 공격자가 사용자 아이디와 비밀번호를 사용하여 로그인을 시도할 경우 먼저 SMS나 이메일과 같은 별도의 디바이스나 채널에서 로그인 시도를 확인해야 합니다.
모두를 위험에 빠뜨리는 비밀번호 크래킹
이러한 비밀번호 크래킹 기술이 전 세계 사용자의 보안과 개인 정보를 위협한다는 것은 의심의 여지가 없습니다. 이미 엄청난 양의 데이터가 비밀번호 크래킹을 통해 도난당했으며, 여러분도 공격의 표적이 되지 않으리라는 보장은 없습니다. 따라서 계정을 안전하게 지키기 위해 이러한 악의적인 수법을 피하는 방법을 알아두세요.