해커들이 비밀번호를 훔치는 방법
ByteByteGo EP207을 보며 비밀번호 해킹 기술에 대해 정리해보겠습니다.
- 브루트포스(= 키 전수조사, 무차별 대입 공격)
- 자동화된 도구를 사용하여 조합 가능한 모든 문자열을 하나씩 대입해 보는 무차별 공격
- 사실상 방어 방법 없음
- 사전 공격
- 공격자는 일반적인 암호나 유출된 데이터, 흔하게 사용하는 비밀번호 패턴을 바탕으로 단어 목록을 선별하여 공격
- 예를 들어 123456,1111,password1234과 같은 간단한 문구나 쉬운 숫자 조합으로 이뤄졌을 경우를 의미합니다.
- 자격 증명 스터핑
- 한 사이트를 해킹한 후, 공격자는 탈취한 사용자 정보를 바탕으로 다른 사이트에 재사용하는 공격. 많은 사용자가 여러 계정에서 동일한 비밀번호를 사용하기에 가능한 공격 방식
- 사이트마다 다른 암호를 사용함으로써 방지
- 크리덴셜 스터핑(=비밀번호 무차별 대입 공격)
- 공격자가 이미 확보한 암호화된 정보를 여러 계정에 하나의 비밀번호로 사용자 정보 탈취를 시도하는 공격.
- 해커들은 봇넷 구축, 정보 유출 협박, 크리덴셜 수확, 스피어 피싱, 계정 탈취, 크리덴셜 스터핑으로 활용한다.
- 브루트 포스의 일부
- 피싱
- 주로 사용자를 가짜 로그인 페이지에 접속하게 하여 해당 정보를 탈취하는 방법.
- 인포스틸러: 정보 탈취형 악성코드로 불림, 에이전트테슬라, 폼북 등을 포함하는데, 웹 브라우저나 메이르 파일 전송 프로토콜 클라이언트 등에 저장된 사용자 정보를 유출한다.
- 키로거 악성 소프트웨어
- 악성 소프트웨어가 컴퓨터에 키보드, 마우스 등의 입력장치에서 기록되는 정보를 해커에게 전송하고, 이 과정에서 모든 정보를 탈취해서 사용한다.
- 합법적인 목적과 악의적인 목적 모두에 사용될 수 있다.
- 유형
- 소프트웨어 키로거: 감염된 컴퓨터에 설치되는 멀웨어로, 컴퓨터의 이벤터를 모니터링하여 키 입력을 감지하고 비디오 또는 오디오를 수집한다.- 하드웨어 키로거: 키보드와 컴퓨터 사이에 연결된 물리적 장치입니다. USB 키보드를 사용하는 경우 컴퓨터의 USB 포트에 직접 꽂으면 컴퓨터가 연결
- 모바일 키로거: 컴퓨터의 소프트웨어 키로거와 동일한 기능을 구현하는 모바일 멀웨어로 터치스크린과의 상호 작용을 기록하고 감염된 디바이스에서 추가 작업을 모니터링이 가능하다.
예방 방법
- 독창적인 비밀번호 사용: 특수문자, 숫자, 대소문자 다양한 문자 조합을 사용한 비밀번호 사용
- 비밀번호를 정기적으로 업데이트: 일정 주기로 비밀번호를 변경한다.
- 생체 인식 방식 사용: 신체 특징을 활용하면 강력한 인증이 가능하다.
- CAPTCHA 챌린지 사용: 컴퓨터가 풀기 어렵지만 사람이 풀기 쉬운 문제로 설계되어 자동화된 사전 공격을 방지
- 2단계 인증(2FA) 구현: OTP(일회용 비밀번호) 사용을 통해 계정에 추가적인 보안 계층을 제공하는 완화 기술
- 강력한 비밀번호 해싱 사용: 암호를 암호화하여 해킹하기 어렵게 만들기
