열린마당

자유게시판

  • HOME
  • 열린마당
  • 자유게시판
자유게시판 상세보기, 제목, 내용, 파일등의 정보를 제공합니다.
제목 [보안뉴스] 공격자들, 비밀번호 대입 공격할 때 머리 많이 쓰지 않는다
두 가지 유형의 흔한 서버들을 표적으로 한 크리덴셜 기반 공격 수천만 건을 분석했더니 두 손에 꼽을 수 있을 정도의 비밀번호들로부터 비롯된다는 사실이 드러났다. 이는 보안 업체 라피드7(Rapid7)이 1년 동안 자사의 허니팟 등에 시도된 허위 로그인 공격을 분석한 결과다. 거의 대부분(99.997%) 일반인들이 흔히 사용하는 것으로 널리 알려진 비밀번호들이 공격에 활용되고 있었다고 한다.

라피드7의 수석 연구원인 토드 비어즐리(Tod Beardsley)는 “흔히 사용되는 비밀번호를 크리덴셜 대입에 주로 활용한다는 것은 공격자들도 쉬운 길을 택하려는 성향이 강하다는 걸 드러낸다”고 분석한다. “이제 공격자들 중 그 누구도 무작위 공격을 실행할 때 창의력을 발휘하려 하지 않는다는 것이 분명합니다. 쉽고 간단한 공격을 하고 누군가 한 명 걸리기를 기도하는 것이 요즘 공격자들 사이에서 나타나는 추세죠. 그렇다는 건 비밀번호 관리 프로그램이나 설정 제어 장치들을 통해 공격을 쉽게 막을 수 있다는 뜻이 됩니다.”

보안 업계는 매년 사용자들의 비밀번호들에 대한 조사를 실시하는데, 그 결과가 좋은 적이 없었다. 예를 들어 작년 10월, 이스라엘의 한 사이버 보안 업체는 자전거를 타고 다니면서 무선 와이파이 접속망의 70%에 무단으로 접속할 수 있음을 증명한 바 있다. 방법은 간단했다. 사용자들의 전화번호를 비밀번호로 그대로 대입하는 것이었다. 70%에 가까운 사용자들이 전화번호를 그대로 무선망의 비밀번호로 사용하고 있었다는 소리다. 2019년에는 사람들이 가장 많이 사용하는 비밀번호가 123456과 123456789인 것으로 조사되기도 했었다.

이번 라피드7의 조사가 기존 조사들과 다른 점은 사용자들이 자주 사용하는 비밀번호가 아니라 공격자들이 공격할 때 자주 활용하는 비밀번호에 대해 조사했다는 것이다. 즉 공격자들이 무작위 대입 공격을 할 때 주로 어떤 비밀번호를 대입하는 지 알아보았던 것이다. 코로나 19 팬데믹 이러한 방식의 공격은 해커들 사이에서 인기가 높아졌고, 2021년 한 해 동안 비밀번호를 추측하는 식의 공격 유형은 높은 인기를 구가하기에 이르렀다.

“원격 근무 체제와 클라우드 도입 사례가 증가하면서 인터넷으로 기업 내 정보 시스템에 접근하는 사례가 급증했습니다. 세상 일이 다 그렇듯, 편리한 것에는 반드시 위험이라는 대가가 따라붙게 마련인데, 집에서 편리하게 근무할 수 있다는 것의 대가가 바로 크리덴셜 기반 사이버 공격이라고 볼 수 있습니다. 비밀번호만 입력하면 편리하게 어디서든 접속할 수 있다는 건, 비밀번호의 주인만이 아니라 공격자들에게도 마찬가지인 일입니다.”

라피드7은 RDP와 SSH 허니팟들을 개설해 2021년 9월 10일부터 2022년 9월 9일까지 크리덴셜 데이터를 모조리 수집했다. “그 1년 사이에 허니팟에 연결하려는 시도가 수천만 번 기록됐습니다. 대다수는 SSH 허니팟들을 겨냥한 것이었죠. 공격자들이 대입을 시도한 고유 비밀번호의 수는 50만 개가 넘었는데, 그 중 97%가 SSH 서버인 것처럼 만들어진 허니팟을 노린 것이었습니다. SSH와 RDP를 겨냥한 공격의 출처가 된 IP 주소는 21만 6천 개가 넘었습니다.”

하지만 공격자들이 50만 개의 비밀번호를 대입하며 공격을 시도했을 때 한 가지 눈에 띄는 게 있었다. 비밀번호와 대입 도구를 구매한 그대로, 아무 것도 손 대지 않고 사용했다는 것이다. “다크웹 등에서 거래되는 비밀번호 세트를 있는 그대로 대입한 겁니다. 아무 것도 자기들이 만들거나 생각해서 대입한 게 없어요. 만약 그런 변경을 시도했다면 저희도 금방 알아챘을 겁니다.” 비어즐리의 설명이다.

이번 연구 결과는 사용자들의 잘못된 비밀번호 설정 습관에 대해 알려주는 바는 없다. 하지만 공격자들 역시 수많은 비밀번호를 손에 쥐고 공격을 진행할 때는, 마치 일반 사용자들이 편리한 비밀번호만 설정하는 것처럼, 가장 편리한 방법을 선택한다는 것을 보여준다. 어디서 뭘 구매하든 겹치는 비밀번호가 상당히 많은데, 그것을 알고도 공격자들은 아무런 변경없이 그대로 적용한다.

“RDP 서버에 대한 공격을 실시할 경우 가장 흔하게 사용되는 사용자 이름은 administrator, user, admin이었고 SSH의 경우 root, admin, nproc였습니다. 두 서버 모두 공격자들이 가장 많이 대입하는 비밀번호는 admin, password, 123456, 그리고 빈 문자열이었습니다. 빈 문자열은 비밀번호를 아예 설정하지 않았다는 뜻입니다. 사용자들이 가장 많이 사용하는 비밀번호라고 알려진 것들이죠.”

언급했다시피 이번 조사를 통해 사용자들의 비밀번호 설정 습관의 허점이 드러나지는 않았다. 하지만 공격자들이 그런 허술한 비밀번호 설정 습관을 적극적으로 이용한다는 것은 확실하게 드러났다. “우리가 알고 있는 나쁜 비밀번호들을 공격자들은 적극 활용하고 있었습니다. 물론 그렇게 했을 때의 공격 성공률까지 이번에 조사되지는 않았습니다만, 공격자들이 계속해서 그런 비밀번호를 구매하고 실제 공격에 활용한다는 건 어느 정도 성공률이 보장되니까 그런 것 아닐까요? 편리하면서도 괜찮은 성공률을 보여주는 공격 방법이라는 것이죠.”

그러므로 조직들은 임직원들의 계정을 보호한다고 했을 때 디폴트 비밀번호나 추측이 쉬운 비밀번호가 사용되고 있지는 않은지 적극적으로 살펴서 제거해야 한다고 비어즐리는 강조한다. “우리에게도 충분한 정보가 있습니다. 사용자들이 가장 많이 비밀번호로서 설정하는 게 무엇인지 지난 수년 동안 조사되어 왔으니까요. 그런 비밀번호가 우리 조직 안에 있지는 않은지 확인하는 건 그리 어려운 일이 아닙니다. 이것만 바꿔도 공격자들의 편리하고 간편한 공격 정도는 막을 수 있습니다.”
파일