브루트 포스 공격: 해커가 될 때까지 모든 것을 시도할 때

자물쇠 비밀번호를 잊어버려서 000부터 999까지 모든 번호를 시도해본 적이 있다면, 당신은 이미 수동 브루트 포스 공격을 수행한 것입니다. 사이버 범죄자들도 동일한 방식을 사용합니다. 다만 자동화된 소프트웨어와 강력한 하드웨어를 이용해 수백만 배 더 빠르게 실행할 뿐입니다.

브루트 포스 공격이란?

브루트 포스 공격은 현존하는 가장 오래되고 단순한 해킹 기법 중 하나입니다. 특정 취약점을 악용하거나 소셜 엔지니어링으로 사람을 속이는 대신, 공격자는 작동하는 조합을 찾을 때까지 비밀번호, PIN, 또는 암호화 키의 가능한 모든 문자 조합을 단순히 시도합니다.

'브루트 포스(무차별 대입)'라는 용어는 매우 적절합니다. 이 방법에는 어떠한 우아함도 없습니다. 추측 문제에 순수한 컴퓨팅 파워를 적용하는 것입니다. 이 방법이 위험한 이유는 정교함이 아니라 지속성과 속도에 있습니다.

브루트 포스 공격은 어떻게 작동하나요?

현대의 브루트 포스 공격은 추측 과정을 자동화하는 특수 소프트웨어 도구를 사용하여 수행됩니다. 이러한 도구는 공격자의 하드웨어에 따라 초당 수천, 수백만, 심지어 수십억 개의 조합을 시도할 수 있습니다.

몇 가지 일반적인 변형이 있습니다:

  • 단순 브루트 포스: 도구가 "a", "aa", "ab"부터 시작해 비밀번호가 해독될 때까지 모든 가능한 문자 조합을 시도합니다.
  • 딕셔너리 공격: 무작위 조합 대신 미리 구축된 일반적인 비밀번호와 단어 목록을 순환합니다. 대부분의 사람들이 예측 가능한 비밀번호를 사용하기 때문에 더 빠릅니다.
  • 역방향 브루트 포스: 공격자가 "123456"과 같이 알려진 일반적인 비밀번호로 시작해 수백만 개의 사용자 이름에 대입하여 일치하는 계정을 찾습니다.
  • 크리덴셜 스터핑: 공격자가 데이터 유출로 이전에 노출된 사용자 이름/비밀번호 쌍을 사용해 다른 서비스에서 시도하며, 사람들이 비밀번호를 재사용한다는 점을 이용합니다.

비밀번호를 해독하는 데 필요한 시간은 길이와 복잡성에 따라 극적으로 달라집니다. 소문자만 사용한 8자리 비밀번호는 몇 분 안에 해독될 수 있습니다. 대소문자, 숫자, 기호를 혼합한 16자리 비밀번호는 현재 기술로 우주의 나이보다 더 오랜 시간이 걸릴 수 있습니다.

VPN 사용자에게 왜 중요한가요?

VPN은 두 가지 중요한 측면에서 브루트 포스 공격과 직접적으로 관련이 있습니다.

첫째, VPN 계정 자체가 공격 대상이 됩니다. 공격자가 VPN 자격 증명에 접근하면 실제 IP 주소를 확인하고, 연결하는 서버를 모니터링하며, 잠재적으로 트래픽을 가로챌 수 있습니다. 취약한 VPN 비밀번호는 VPN이 보호해야 하는 모든 것을 무력화합니다.

둘째, 암호화 강도가 중요합니다. VPN은 데이터를 암호화하지만 모든 암호화가 동등한 것은 아닙니다. PPTP와 같은 구형 VPN 프로토콜은 암호화가 너무 취약해 브루트 포스 공격으로 현실적인 시간 내에 해독될 수 있습니다. WireGuardOpenVPN 같은 현대 프로토콜은 AES-256 암호화를 사용하며, 현재 존재하는 컴퓨팅 파워로는 브루트 포스 공격으로 해독할 수 없을 만큼 강력한 표준입니다.

이것이 바로 보안을 중시하는 VPN 사용자들이 호환성을 위해 유지되는 레거시 프로토콜이 아닌, 강력하고 현대적인 암호화 표준을 사용하는 제공업체를 선택하는 이유입니다.

실제 사례

  • 로그인 포털: 공격자들이 분당 수천 개의 사용자 이름과 비밀번호 조합으로 기업 VPN 로그인 페이지를 공격하여 작동하는 것을 찾으려 합니다.
  • Wi-Fi 비밀번호: WPA2로 보안된 네트워크는 핸드셰이크를 캡처하고 오프라인에서 비밀번호를 테스트하는 브루트 포스 도구의 대상이 될 수 있습니다.
  • SSH 서버: 기본 포트에서 SSH 접근이 활성화된 서버는 일반적인 자격 증명을 시도하는 자동화된 봇의 지속적인 공격을 받습니다.
  • 암호화된 아카이브: 비밀번호로 보호된 ZIP 파일이나 암호화된 백업은 공격자의 하드웨어가 허용하는 속도로 오프라인 브루트 포스 공격에 노출될 수 있습니다.

스스로를 보호하는 방법

  • 길고 복잡하며 고유한 비밀번호를 사용하세요. 비밀번호 관리자를 사용하면 쉽게 관리할 수 있습니다.
  • VPN 계정과 모든 중요한 서비스에 이중 인증을 활성화하세요.
  • AES-256 암호화와 현대적인 프로토콜을 사용하는 VPN 제공업체를 선택하세요.
  • 무료 VPN은 서버 부하를 줄이기 위해 더 약한 암호화를 사용할 수 있으며, 이로 인해 연결이 더 취약해질 수 있다는 점을 인식하세요.

브루트 포스 공격은 사라지지 않을 것입니다. 하지만 강력한 비밀번호와 제대로 구현된 암호화를 통해 공격자에게 비현실적인 대상이 될 수 있습니다.