“보안 침해”라는 용어는 사이버 전쟁을 벌이는 악의적인 해커, 자연광에 노출이 제한된 은둔형 10대 컴퓨터 천재, 글로벌 네트워크를 손상시키려는 첨단 슈퍼컴퓨터 등 다양한 이미지를 떠올리게 합니다.
승인되지 않은 방법으로 시스템의 비밀을 해제하려면 비밀번호라는 단 하나의 키만 필요합니다. 개인이 비밀번호를 알아낼 수 있다면 소유자인 것처럼 가장하여 계정에 간단히 액세스할 수 있기 때문에 고급 해킹 방법이나 강력한 컴퓨터가 필요하지 않습니다. 사실 비밀번호가 짧고 간단하다면 이미 게임에서 승리한 것입니다.
사이버 범죄자들이 비밀번호에 무단으로 액세스하기 위해 사용하는 8가지 전략이 확인되었습니다.
무료 이메일 강좌는 포괄적인 무료 튜토리얼을 통해 사용자에게 전자 메일 계정을 보호하는 데 필요한 기술을 알려주기 위해 고안되었습니다.
사전 해킹
비밀번호를 해독하는 데 일반적으로 사용되는 기법을 사전 공격이라고 합니다. 이 방법은 사전 정의된 “사전” 내의 모든 단어를 자동으로 시도하는 것으로, 기존 사전에서 찾을 수 있는 단어뿐만 아니라 비밀번호로 사용될 수 있는 다른 잠재적인 문자 조합을 포함합니다.
이 사전에는 ‘123456’, ‘쿼티’, ‘비밀번호’, ‘iloveyou’, 시대를 초월한 고전적인 ‘헌터2’ 등 자주 사용되는 문자 조합으로 구성된 추측 목적으로 쉽게 액세스할 수 있는 일반적인 비밀번호의 간결한 목록이 포함되어 있습니다.
앞서 언급한 표에는 2020년 한 해 동안 자주 노출된 상위 비밀번호가 나열되어 있으며, 다음 표에는 이러한 비밀번호에 대한 개요가 나와 있습니다.
2020년 첫 발표 이후 3년이 지난 지금까지도 자주 유출되는 비밀번호 목록에는 큰 변화가 없습니다. 오히려 이러한 비밀번호의 광범위한 사용과 사용자가 더 강력한 인증 방법을 채택해야 할 필요성을 강조하기 위해 10개의 비밀번호를 추가로 포함했습니다.
로그인 자격 증명의 기밀성을 유지하려는 경우
이 제품의 장점은 안전하게 보호된 계정도 잠금 해제할 가능성이 높기 때문에 신속성이 뛰어나다는 것입니다.
강력한 비밀번호 사용의 단점은 비교적 강력한 비밀번호라도 보안이 유지된다는 것입니다.
신뢰할 수 있는 비밀번호 관리 소프트웨어와 함께 강력한 고유 로그인 자격 증명을 사용하여 개인 정보를 보호하는 것이 필수적입니다.이 디지털 볼트를 사용하면 하나의 마스터 키에 여러 개의 비밀번호를 저장할 수 있으므로 사용자는 모든 웹사이트에 강력하면서도 간단한 비밀번호를 적용할 수 있습니다.
무차별 암호 대입
무차별 암호 대입 공격은 공격자가 올바른 비밀번호를 찾을 때까지 가능한 모든 문자 조합을 체계적으로 시도하는 기법입니다. 시도되는 조합은 적어도 하나의 대문자, 하나의 소문자, 숫자, 특수 문자 및 기타 기준을 포함하는 등 복잡성 정책에서 정한 지정된 요구 사항을 준수해야 합니다.
체계적인 시행착오 전략을 사용하는 반복적인 접근 방식을 무차별 암호 대입 공격이라고 합니다. 이 기법에는 앞서 언급한 “1q2w3e4r5t”, “zxcvbnm”, “qwertyuiop” 등과 같이 일반적으로 사용되는 영숫자 문자열을 포함하여 가능한 모든 문자 조합을 테스트하는 과정이 포함됩니다. 해독하는 비밀번호의 복잡성에 따라 이 과정은 힘들고 시간이 오래 걸릴 수 있습니다.
이 방법의 잠재적 장점은 가능한 모든 조합을 시도하는 철저한 시행착오 과정을 통해 모든 비밀번호를 잠금 해제할 수 있다는 것입니다.
이 방법의 단점은 비밀번호가 길고 복잡할수록 해독하는 데 오랜 시간이 걸릴 가능성이 크다는 점입니다. 또한 비밀번호에 $$, &, {, ] 등의 기호를 추가하고 길이를 최소 16자로 늘리면 프로세스가 더욱 복잡해집니다.
모든 경우에 다양한 문자 시퀀스를 사용하는 것이 좋으며, 보안을 강화하기 위해 가능한 경우 추가 상징을 통합하는 것이 좋습니다.
마스크 공격
개인의 비밀번호를 탈취하려는 사람이 비밀번호의 특정 부분에 액세스할 수 있는 경우, 이 지식을 활용하여 나머지 구성 요소를 빠르게 해독하는 과정을 거칠 수 있습니다.
마스크 비밀번호 공격은 공격자가 다른 수단을 통해 얻은 정보와 가능한 비밀번호 집합을 조합하여 시스템 또는 네트워크에 대한 액세스를 시도하는 공격 유형입니다. 이 접근 방식은 무차별 암호 대입 공격과 유사하지만, 공격 대상 비밀번호에 대해 어느 정도 알고 있으면 코드를 해독하는 데 필요한 시도 횟수를 크게 줄일 수 있다는 이점이 있습니다.
이 방법의 한 가지 장점은 무차별 암호 대입과 마찬가지로 무한한 시간이 주어지면 어떤 비밀번호라도 알아낼 수 있다는 것입니다. 또한 특정 문자 시퀀스가 이미 익숙하기 때문에 단순한 무차별 대입 방식보다 약간 더 효율적일 수 있습니다.
이 접근법의 잠재적 단점은 비밀번호가 충분히 길고 다양한 기호와 매개변수를 포함할 경우, 사전에 익숙하더라도 비밀번호를 해독하는 것이 힘든 작업이 될 수 있다는 사실에 있습니다.
다양한 문자 집합을 포함하는 강력하고 개별화된 비밀번호를 사용하여 안전을 보장하세요.
피싱
피싱 또는 스피어 피싱 공격은 심각한 결과를 초래하는 경우가 많으므로 피싱 공격의 피해자가 되지 않도록 예방하는 것이 중요합니다. 피싱 이메일은 전 세계의 다양한 인터넷 사용자에게 전 세계적으로 대량으로 전송되며, 로그인 자격 증명과 같은 기밀 정보를 획득하는 가장 일반적인 방법 중 하나입니다.
“피싱 공격의 일반적인 과정은 수신자를 속여 개인 정보를 제공하도록 유도하기 위해 은행이나 소셜 미디어 플랫폼과 같은 합법적인 출처에서 보낸 것처럼 보이는 이메일을 보내는 것을 포함합니다.
유명 기관이나 기업에서 발송한 것처럼 조작된 이메일을 수신자가 받게 됩니다.
위조된 이메일이 긴급한 검토를 요청하며 웹 페이지로 연결되는 하이퍼링크를 포함하고 있습니다.
앞서 언급한 하이퍼링크는 모든 면에서 정품 사이트를 모방하도록 조작된 복제 로그인 페이지로 연결됩니다.
의심스럽지 않은 대상 사용자가 인증 자격 증명을 제출하면 프로세스를 다시 시도하라는 안내 또는 알림이 표시될 수 있습니다.
사용자 자격 증명이 불법적인 수단을 통해 획득된 후 악의적인 목적으로 활용될 수 있습니다.
전 세계적으로 전송되는 일일 스팸 발송량은 여전히 높은 수준으로, 전 세계적으로 전송되는 전체 이메일의 절반 이상을 차지합니다. 또한 악성 첨부 파일의 양도 많아 Kaspersky는 6억 개 이상의 악성 첨부 파일을 차단했습니다. 하지만 더 충격적인 수치는 차단된 피싱 링크의 수로, 2021년 2억 5300만 개에서 2022년에는 5억 700만 개로 증가했다는 점이며, 이는 Kaspersky의 수치일 뿐이므로 실제 수치는 훨씬 더 높습니다.
닫기
2017년에 가장 큰 피싱 미끼는 가짜 송장이었습니다. 하지만 2020년에는 코로나19 팬데믹으로 인해 새로운 피싱 위협이 등장했습니다. 2020년 4월, 많은 국가가 팬데믹 봉쇄에 들어간 지 얼마 지나지 않아 Google 은 코로나19를 주제로 한 악성 스팸 및 피싱 이메일이 하루에 1,800만 건 이상 차단되고 있다고 발표했습니다.이러한 이메일의 상당수는 정부 또는 보건 기관의 공식 브랜드를 사용하여 합법성을 강조하고 피해자의 방심을 유도합니다.
이 접근 방식의 장점은 사용자가 기꺼이 로그인 자격 증명을 제공하므로 피싱 공격의 성공 가능성이 높아지고 맞춤형 메시지로 특정 개인이나 서비스를 쉽게 타겟팅할 수 있다는 점입니다.
아웃바운드 이메일 마케팅 캠페인 전송의 단점 중 하나는 이메일 클라이언트 및 서버에서 스팸으로 쉽게 식별되어 필터링되거나 완전히 차단될 수 있다는 것입니다. 또한 ISP는 정기적으로 알려진 스팸 도메인 목록을 관리하기 때문에 해당 도메인이 블랙리스트에 올라 발신자가 의도한 대상에게 도달하기가 더욱 어려워질 수 있습니다. 하지만 이러한 어려움에도 불구하고 이메일 전달성 모범 사례를 준수하고, 발신자의 신원을 확인할 수 있는 인증 방법을 사용하고, 한 번에 너무 많은 이메일을 보내거나 관련 없는 콘텐츠를 포함하는 등의 일반적인 실수를 피하는 등 이메일이 스팸으로 표시되는 위험을 최소화하기 위해 취할 수 있는 조치가 있습니다. 궁극적으로 스팸 필터의 탐지 및 차단 효과가 점점 더 높아지고 있지만
스팸 필터의 활용도를 높이고 링크 확인 도구를 활용하여 진위 여부를 확인하는 등 원치 않는 이메일을 수신할 때 주의를 기울이는 것이 필수적입니다.
소셜 엔지니어링
소셜 엔지니어링은 디지털 영역 외부에서 발생하는 피싱의 한 형태로 간주될 수 있습니다.
보안 감사에서 중요한 요소 중 하나는 조직 직원의 이해도를 평가하는 것입니다. 예를 들어, 보안 회사가 감사 대상 조직에 전화로 연락할 수 있습니다. 새로운 사무실 기술 지원팀을 사칭한 ‘공격자’가 특정 목적을 위해 가장 최근의 비밀번호를 요청합니다.
상황을 잘 모르는 사람은 아무런 고민 없이 주저 없이 비밀번호를 알려줄 수 있습니다.
보안 영역에 무단으로 액세스하기 위해 속임수를 사용하는 관행은 수세기 동안 널리 퍼져 왔으며, 일반적으로 “사회 공학”이라고 불립니다. 이러한 공격에 사용되는 방법은 민감한 정보에 대한 직접적인 요청에 국한되지 않고, 보안 시설에 대한 접근을 요청하는 허위 수리공과 같이 출입이 필요하다고 주장하는 사칭자의 형태를 취할 수도 있습니다. 따라서 이러한 유형의 공격으로부터 보호하려면 개인이 이러한 수법을 인식하고 피해자가 되지 않도록 교육하는 데 크게 의존합니다. 안타깝게도 비밀번호를 유출했다고 신고한 사람들이 소셜 엔지니어링 수법에 속아 넘어가는 경우가 너무 많습니다.
숙련된 실무자가 소셜 엔지니어링을 활용하면 다양한 대상으로부터 가치 있는 정보를 얻을 수 있다는 장점이 있습니다. 이 방법은 장소에 관계없이 거의 모든 개인을 대상으로 사용할 수 있습니다. 또한, 고도로 은밀하고 훈련된 개인은 비밀번호 해독에 도움이 될 수 있는 정보를 이끌어낼 수 있습니다.
소셜 엔지니어링 사용의 잠재적 단점은 향후 공격에 대한 우려와 획득한 정보의 정확성에 대한 의구심을 불러일으킬 수 있다는 점입니다.
소셜 엔지니어링 공격의 성공 여부가 항상 즉각적으로 드러나지 않을 수 있으므로 항상 주의를 기울여야 합니다. 보안 조치에 대해 스스로 교육하고 민감한 정보의 유포에 대한 경계를 유지하는 것은 이러한 공격을 예방하는 데 중요한 단계입니다.
레인보우 테이블
레인보우 테이블은 일반적으로 오프라인 비밀번호 공격에 활용됩니다. 예를 들어 공격자가 암호로 보호된 사용자 이름과 비밀번호 쌍의 명단을 확보했다고 가정해 보겠습니다. 그런 다음 보안된 비밀번호를 해시 처리하여 원래 모습에서 크게 변형합니다.
앞서 언급한 예에서는 암호의 암호화 표현을 생성하기 위한 알고리즘 프로세스의 활용을 설명하며, 구체적인 예는 암호 “logmein”에 대한 MD5 해시를 계산하는 것입니다.
특정 경우 공격자는 해싱 알고리즘과 암호화된 비밀번호 데이터베이스와의 비교를 포함하는 프로세스를 사용하여 잠재적인 일반 텍스트 비밀번호의 유효성을 확인할 수 있습니다. 반대로, 일부 암호화 방법에는 권한이 없는 사용자가 적절하게 보호되지 않은 대량의 비밀번호에 액세스하기 위해 악용할 수 있는 보안 취약점이 존재합니다. 예를 들어, 널리 사용되는 MD5 암호화 기능은 현재 결함이 있는 것으로 간주되어 보안이 취약한 것으로 알려져 있으며, 이 때문에 당사는 ‘LogMeIn’이라는 용어와 관련된 정확한 해시에 대한 지식을 보유하고 있습니다.
레인보우 테이블은 이와 관련하여 최적의 솔루션을 나타냅니다. 레인보우 테이블은 방대한 수의 가능한 비밀번호 순열을 처리하고 이를 얻은 해시 결과와 비교하는 대신 미리 계산된 알고리즘 해시 값의 포괄적인 모음입니다. 레인보우 테이블을 사용하면 해시된 비밀번호를 해독하는 데 필요한 시간을 크게 단축할 수 있지만, 완벽하지는 않습니다. 사이버 범죄자는 수많은 잠재적 조합을 포함하는 기성 레인보우 테이블을 확보할 수 있습니다.
이 도구를 사용하면 복잡한 비밀번호를 간편하게 생성할 수 있어 특정 사이버 보안 상황과 관련하여 개인에게 높은 수준의 통제권을 부여할 수 있습니다.
레인보우 테이블에는 몇 가지 단점이 있다는 것이 전문가들의 공통된 의견입니다. 첫째, 수백 기가바이트에서 테라바이트에 이르는 방대한 양의 데이터를 수용하기 위해 방대한 양의 저장 공간이 필요합니다. 또한 미리 계산된 테이블의 크기와 범위에 대한 제한으로 인해 공격자는 자체 테이블의 내용과 일치하지 않는 특정 데이터 세트에 액세스하는 데 제한을 받을 수 있습니다. 이는 더 복잡한 해시 함수를 사용하는 시스템이나 더 많은 양의 계산 리소스를 필요로 하는 시스템에 대한 공격을 시도할 때 어려움을 초래할 수 있습니다.
레인보우 테이블을 사용할 때는 다양한 공격이 가능하므로 주의하는 것이 좋습니다. 비밀번호 해싱 메커니즘으로 SHA1 또는 MD5를 사용하는 웹사이트와 비밀번호 길이 또는 문자 구성에 제한을 두는 웹사이트는 피하세요. 안전한 다중 문자 비밀번호를 사용하는 것이 좋습니다.
바이러스/키로거
악성 소프트웨어의 희생양이 되어 로그인 자격 증명을 쉽게 잃어버릴 수 있습니다. 바이러스의 확산과 상당한 피해를 입힐 수 있는 바이러스의 능력은 무시할 수 없습니다. 문제의 바이러스에 키로깅 기능이 포함되어 있는 경우, 사용자의 여러 계정이 무단 액세스에 취약해질 수 있습니다.
바이러스의 다른 전략은 민감한 정보를 획득하거나 손상된 시스템을 원격으로 제어하여 로그인 자격 증명을 훔칠 수 있는 백도어를 도입하는 데 집중하는 것일 수 있습니다. 또 다른 가능성은 네트워크 트래픽을 분석하여 보안되지 않은 상태로 전송되는 일반 텍스트 비밀번호를 가로채 해독하는 것인데, 많은 조직에서 이러한 위험에도 불구하고 여전히 이러한 방식으로 비밀번호를 전송하고 있기 때문입니다. 일반 텍스트 비밀번호의 취약성은 제대로 해결하지 않으면 도난의 심각한 위험을 초래할 수 있습니다.
나노코어 사용의 장점은 여러 가지 간단한 전송 모드와 함께 고도로 사용자 정의 가능한 광범위한 바이러스 변종으로 구성되어 있다는 점입니다. 다수의 표적이 적어도 하나의 변종에 희생될 가능성이 매우 높으며, 은밀한 특성으로 인해 탐지되지 않고 민감한 정보 및 로그인 세부 정보를 계속 추출할 수 있습니다.
이 기술을 사용하여 잠재적으로 악성일 수 있는 파일에서 데이터를 추출하는 데에는 잠재적인 단점이 있습니다. 이러한 단점 중 하나는 추출된 데이터에 위협을 확실히 식별할 수 있는 정보가 포함되어 있지 않을 수 있으므로 추가 분석에서 가치가 있을 것이라는 보장이 없다는 것입니다. 또한 바이러스가 수정된 후 제대로 작동하지 않아 분석에 의미 있는 인사이트를 제공하지 못할 가능성도 있습니다.또한 데이터 추출 프로세스 자체가 잠재적으로 바이러스의 내장 방어 메커니즘을 트리거하여 바이러스 백신 소프트웨어에 의한 탐지 및 격리로 이어질 수 있으므로 추가적인 보안 위험을 초래하지 않는다는 보장은 없습니다. 따라서 이 기술을 사용할 때는 주의를 기울이고 얻은 결과를 철저히 평가하여 신뢰성과 정확성을 보장하는 것이 중요합니다.
바이러스 백신 및 맬웨어 방지 프로그램 설치, 콘텐츠 다운로드 시 신중함, 번들 설치 방지, 유해한 웹사이트 차단, 악성 스크립트가 디바이스에서 실행되지 않도록 스크립트 차단기 활용 등 강력한 보안 조치를 구현하여 안전을 보장합니다.
스파이더링
스파이더링 행위는 사전 공격과 관련이 있습니다. 특정 조직이나 기업을 집중적으로 노리는 악의적인 공격자는 해당 조직이나 기업과 관련된 단어를 연속적으로 시도하여 비밀번호를 해독하려고 시도할 수 있습니다. 이 과정을 신속하게 진행하기 위해 공격자는 연결된 표현 그룹을 수집하거나 웹 스파이더를 사용하여 자동으로 작업을 수행할 수 있습니다.
검색 엔진 데이터베이스를 위해 온라인 콘텐츠를 탐색하고 색인을 생성하도록 프로그래밍된 자동 웹 크롤러의 활용은 사용자 계정 정보 내 고유 식별자 단어의 비교를 통한 신원 확인 프로세스와 유사합니다.
제한된 영역이나 정보에 접근하기 위한 수단으로 소셜 엔지니어링을 활용하는 것은 특정 상황, 특히 조직 내 고위급 인력을 표적으로 삼을 때 귀중한 자산으로 간주될 수 있습니다. 소셜 엔지니어링 계획을 만들고 실행하는 과정은 비교적 간단하며, 추가 진입 지점을 제공함으로써 사전 공격과 같은 다른 형태의 공격의 효과를 높일 수 있습니다.
이 접근 방식에는 조직의 네트워크 보안 조치가 강력하고 효과적인 경우 무용지물로 판명될 수 있다는 잠재적 단점이 있습니다.
높은 수준의 보안을 유지하려면 개인적 또는 직업적 참조가 없는 각 계정에 대해 강력하고 고유한 비밀번호를 사용하는 것이 좋습니다.
숄더 서핑
피싱 및 키로깅과 같은 사이버 공격을 예방하는 가장 간단한 해결책은 비밀번호나 신용카드 번호와 같은 민감한 정보를 입력할 때 주변을 살피고 권한이 없는 사람이 어깨 너머로 보고 있지 않은지 확인하는 것일 수도 있습니다.
숄더 서핑은 터무니없어 보이지만 실제로 널리 퍼져 있습니다.이는 실용적이지 않다고 생각할 수 있는 사이버 공격 방법을 연상시키지만, 분주한 도시 환경에서 경계를 소홀히 하면 가까운 거리에서 다른 사람이 입력하는 비밀번호를 엿듣게 될 수 있습니다. 그러나 더 효율적인 방법으로 비밀번호를 해독할 수 있는 방법이 있으므로 이 기술이 비밀번호 해독을 보장하는 수단은 아니라는 점에 유의해야 합니다.
저기술 방법을 사용하여 비밀번호를 알아내는 데는 실행의 용이성, 탐지 위험 최소화 등 다양한 이점이 있습니다.
이 기법의 한 가지 잠재적인 단점은 공격자가 계정과 관련된 비밀번호를 알아내기 전에 피싱 이메일의 의도된 대상을 먼저 식별해야 한다는 것입니다. 공격자는 성공에 필요한 정찰을 수행하는 동안 실수로 자신의 계정이 손상되지 않도록 해야 하므로 이 과정이 어려울 수 있습니다. 또한 비밀번호를 추출하는 과정에서 공격자의 행위가 감지되면 신원이 노출되어 법적 처벌을 받을 위험이 있습니다.
민감한 정보나 비밀번호는 무단 액세스에 취약할 수 있으므로 공공장소에서 공개하지 마시기 바랍니다. 자격 증명을 입력할 때는 키보드를 가리는 등 필요한 예방 조치를 취하여 기밀을 유지하고 잠재적인 침해로부터 개인 데이터를 보호하는 것이 좋습니다.
항상 강력하고 고유한 일회용 비밀번호 사용
해커의 민감한 정보 탈취 기술은 끊임없이 진화하기 때문에 해커의 사이버 공격에 대해 완벽한 보안을 보장할 수는 없습니다. 무차별 암호 대입, 사회 공학 또는 일반적으로 사용되는 비밀번호의 간단한 추론과 같은 방법을 통해 불법적으로 로그인 자격 증명을 얻는 방법에 대한 지침을 제공하는 수많은 교육 자료와 튜토리얼이 온라인에 존재합니다.
강력하고 고유하며 개별화된 비밀번호를 사용하는 것이 누구에게도 해를 끼친 적이 없다고 자신 있게 주장할 수 있습니다.