가장 일반적인 패스워드 공격 5가지
패스워드 공격은 일반적으로 대부분의 데이터 유출의 주요 원인입니다. 공격자들은 조직의 디바이스, 시스템, 네트워크에 액세스하기 위해 끊임없이 패스워드 취약점을 찾고 있습니다.
공격자가 회사 네트워크에 침입하면 제거하기가 매우 어렵습니다. 경우에 따라 네트워크에서 해커를 완전히 제거하는 데 몇 달이 걸릴 수도 있습니다.
패스워드 매니저를 사용하면 대부분의 패스워드 공격을 예방할 수 있습니다. 패스워드 매니저를 통해 기업은 암호화된 플랫폼에 인증 정보를 저장할 수 있으며, 보안 침해 시 해커가 패스워드에 액세스하거나 도용하는 것을 방지할 수 있습니다.
TeamPassword는 소규모 비즈니스와 스타트업이 패스워드를 안전하게 저장하고 동료들과 공유할 수 있도록 설계되었습니다. 또한, 최첨단 암호화 기술을 사용해 데이터를 안전하게 보호하는 가장 저렴한 패스워드 매니저입니다.
Table of Contents
TeamPassword가 패스워드 공격을 방지하는 방법
대부분의 패스워드 공격은 부실한 인증 정보 관리와 직원 교육 부족으로 인해 발생합니다. TeamPassword는 회사의 패스워드 보안을 개선하여 아래 나열된 5가지 일반적인 패스워드 공격을 완화합니다.
2단계 인증(2FA)
2단계 인증은 각 직원의 TeamPassword 계정에 인증 단계를 하나 더 추가합니다. 사이버 범죄자가 패스워드 공격에 성공하여 직원의 인증 정보를 훔치더라도 2단계 인증은 완전한 데이터 유출을 방지합니다.
TeamPassword는 iOS 및 Android 기기에서 사용할 수 있는 Google Authenticator를 사용합니다. 계정에 로그인하려면 패스워드와 6자리 코드를 입력해야 합니다.
백업 코드를 생성할 수도 있으므로 Google Authenticator를 사용하는 기기를 분실해도 TeamPassword 계정이 잠기지 않습니다.
모든 계정에 안전한 패스워드 만들기
취약하고 재사용되는 패스워드는 회사를 여러 가지 패스워드 취약성에 노출시킵니다. TeamPassword에 내장된 패스워드 생성기를 사용하면 모든 계정에 대해 강력한 패스워드를 생성하고 동일한 패스워드를 재사용하지 않게 할 수 있습니다.
패스워드 생성기를 사용하면 문자(대문자/소문자), 기호, 숫자를 사용해 12~32자 길이의 패스워드를 만들 수 있습니다. 또한, 패스워드 생성기를 사용해 고유한 사용자 아이디를 생성하여 회사 인증 정보의 보안을 강화할 수 있습니다.
모든 인증 정보를 TeamPassword에 저장하면 사용자 아이디와 패스워드를 기억할 필요가 없습니다!
로그 기록 및 이메일 알림
TeamPassword의 로그 기록은 팀원들이 패스워드 매니저 내에서 수행하는 모든 활동을 기록합니다. 또한, 중요한 작업이나 계정에 대한 이메일 알림을 설정하여 의심스러운 활동을 미리 파악할 수 있습니다.
안전하게 패스워드 공유
패스워드 공격은 사람의 실수와 부주의한 인증 정보 관리로 인해 발생하는 경우가 많습니다.
TeamPassword를 사용하면 팀원들이 패스워드 매니저를 통해 안전하게 패스워드를 공유할 수 있으므로 이메일, 채팅 앱, 스프레드시트 및 기타 안전하지 않은 방법을 통해 인증 정보가 노출될 염려가 없습니다.
팀원들은 사용자 아이디와 패스워드를 입력하는 대신 TeamPassword의 브라우저 확장 프로그램(Firefox, Chrome, Safari)을 사용하여 회사의 애플리케이션 및 기타 계정에 로그인할 수 있습니다.
또한, 모바일 전용 애플리케이션에 로그인할 수 있는 모바일 앱도 있습니다. 필요한 인증 정보를 복사/붙여넣기만 하면 로그인할 수 있습니다!
14일 무료 평가판으로 등록하여 강력한 패스워드 매니저로 회사의 디지털 자산을 보호하세요.
가장 일반적인 패스워드 공격 5가지
다음은 사이버 범죄자들이 직원들의 인증 정보를 도용하기 위해 사용하는 가장 일반적인 패스워드 공격 5가지입니다. 패스워드 매니저를 사용하면 이러한 유형의 공격을 최소화하거나 제거할 수 있습니다.
1 - 소셜 엔지니어링(피싱)
소셜 엔지니어링은 인간의 심리적인 빈틈이나 행동의 실수를 이용해 패스워드, 개인정보 등 중요한 정보를 도용하는 수법의 총칭입니다. 기본적으로 소셜 엔지니어링 공격은 팀원들이 기밀 정보를 공유하거나 악성 소프트웨어를 설치하도록 유도합니다.
소셜 엔지니어링은 직원들이 식별하기 어려운 경우가 많으며, 정부 기관과 다국적 기업의 우수한 전문가들도 이러한 사기에 속아 넘어가는 경우가 많습니다.
사이버 범죄자들은 주로 이메일을 사용하여 피싱 공격을 시작하지만 문자(스미싱), 소셜 미디어, 전화(비싱) 및 기타 통신 방법을 사용할 수도 있습니다. 또한 공격자는 누군가를 사칭하여 직원을 속여 기밀 데이터를 공개하도록 유도할 수도 있는데, 2020년에 17세 청소년이 트위터 네트워크에 침입하는 데 성공한 사례가 바로 이 수법입니다.
피싱 외에도 소셜 엔지니어링 공격에는 다음과 같은 것들이 포함됩니다.
- 스피어 피싱 - 사이버 범죄자가 특정 그룹이나 개인에 대한 표적 공격으로, 보내오는 내용의 신뢰도가 높아 보이기 때문에 피해자가 매우 쉽게 속아 넘어가는 것이 큰 특징입니다.
- 워터링 홀 공격 - 사이버 범죄자들은 예를 들어 회계사 채팅방과 같이 특정 전문가 그룹이 자주 이용하는 웹사이트나 플랫폼을 노립니다. 공격자는 악성 코드를 설치하기 위해 웹사이트의 취약점을 찾습니다. 피해자가 감염된 웹사이트를 방문하면 멀웨어와 트로이 목마가 동시에 다운로드되어 공격자가 디바이스 및 회사 네트워크에 원격으로 액세스할 수 있게 됩니다.
- 미끼 (베이팅, baiting) - 해커가 감염된 저장 장치(USB 드라이브, CD, 외장 하드 드라이브)를 공격 대상의 위치 근처에 두고 떠납니다. 드라이브에 무엇이 있는지 알아내기 위해 피해자가 이를 PC에 삽입하면 즉시 멀웨어가 설치되어 해커가 원격으로 액세스할 수 있게 됩니다.
소셜 엔지니어링을 방지하기 위해 기업은 직원들을 교육하고 효과적인 패스워드 관리 전략을 세워야 합니다.
2 - 중간자 공격(Man-in-the-Middle-Attack, MITM)
중간자 공격(MITM)이란 해커가 한 시스템에서 다른 시스템으로 전송되는 데이터(패스워드 포함)를 가로채는 것을 말합니다. 해커는 이 정보를 끊김 없이 중계하고, 데이터를 도용하거나 조작할 수 있기 때문에 수신자는 가짜 정보를 얻게 됩니다.
중간자 공격은 데이터가 네트워크를 통과하거나 한 시스템에서 다른 시스템으로 전송되는 모든 곳에서 발생할 수 있습니다. 예를 들어, 직원이 암호화되지 않은 공용 WiFi 네트워크를 사용하는 경우 해커가 송수신하는 데이터를 가로채 패스워드 및 기타 기밀 정보를 탈취할 수 있습니다.
중간자 공격은 웹사이트나 서버가 안전한 HTTPS 암호화를 사용하지 않을 때 주로 발생합니다. 공격자는 이러한 웹사이트에 악성 코드를 설치하여 사용자 아이디와 패스워드를 포함하여 폼을 통해 전송되는 모든 데이터를 가로챌 수 있습니다!
2017년에 Equifax는 HTTPS 서버 대신 HTTP를 통과하는 트래픽으로 인해 중간자 공격에 취약한 보안 결함이 있어 Apple App Store와 Google Play에서 모바일 앱을 철수해야 했습니다.
TeamPassword는 패스워드를 서버에 업로드하기 전에 컴퓨터에서 로컬로 해싱, 솔팅 및 암호화하여 중간자 공격을 방지합니다. 공격자가 데이터를 가로채더라도 데이터를 확인하거나 해독할 수 없습니다!
3 - 무차별 대입 공격
해커는 자동화된 도구를 사용하여 웹사이트를 크롤링하고 일치하는 사용자 아이디와 패스워드 조합을 찾을 때까지 시도합니다. Google reCAPTCHA 및 2단계 인증과 같은 도구를 사용하면 이러한 무차별 대입 공격은 10년 전보다 성공률이 떨어지지만 그래도 해커들은 계속 시도하고 있습니다!
WordFence WordPress 플러그인을 사용하는 회사라면 봇이 이러한 종류의 무차별 대입 공격으로 웹사이트를 하루 종일 공격하는 것을 볼 수 있을 것입니다.
무차별 대입 공격은 피해자가 취약한 사용자 아이디와 패스워드 조합을 사용하는 계정을 해킹하는 데 매우 효과적입니다. 예를 들어, 회사 이름이나 직원의 이름을 사용하면 공격자에게 인증정보의 절반을 넘겨주는 것과 마찬가지입니다.
강력한 패스워드와 고유하고 임의의 사용자 아이디를 만들면 무차별 대입 공격의 희생양이 될 가능성을 최소화할 수 있습니다.
4 - 크리덴셜 스터핑
크리덴셜 스터핑 공격은 무차별 대입 공격 및 데이터 유출에 과 비슷합니다. 해커는 데이터 유출 시 탈취한 인증 정보를 사용하여 피해자가 동일한 사용자 아이디와 패스워드 조합을 사용하는 다른 웹사이트 및 애플리케이션에 액세스합니다.
사이버 범죄자들은 이렇게 탈취한 인증 정보를 다크웹에서 경매에 부쳐 여러 구매자에게 동일한 데이터베이스를 판매하는 경우가 많으며, 그 결과 수많은 악의적인 사람들의 공격을 받게 됩니다.
크리덴셜 스터핑은 범죄자가 봇을 사용하여 웹사이트와 플랫폼을 방문하여 일치하는 것을 찾는 완전 자동화된 공격 시스템입니다.
크리덴셜 스터핑 공격은 비교적 흔한 공격으로, 사이버 범죄자들은 영국의 드러그스토어 Superdrug와 Uber와 같은 대기업도 침해한 바 있습니다.
2016년에 사이버 범죄자들은 이전 데이터 유출 사고에서 훔친 인증 정보를 사용하여 영국과 유럽에 있는 Uber의 비공개 GitHub 리포지토리 중 하나에 액세스했습니다. 12명의 Uber 직원이 2단계 인증을 활성화하지 않았기 때문에 해커는 쉽게 로그인할 수 있었습니다. 공격자들은 또한 Uber의 AWS 데이터스토어에 액세스하여 3,200만 개 이상의 Uber 운전자 기록을 훔쳤습니다!
크리덴셜 스터핑의 위험을 피할 수 있는 쉬운 해결책은 동일한 패스워드를 반복해서 사용하지 않는 것입니다! 또한 무차별 대입 공격과 크리덴셜 스터핑 공격을 모두 방지할 수 있는 2단계 인증을 사용해야 합니다.
TeamPassword의 패스워드 매니저는 2단계 인증을 사용하여 공격자가 인증 정보를 훔쳐도 계정에 액세스할 수 없도록 차단합니다. 또한 백업 코드를 생성하여 직원이 TeamPassword 계정에 잠기지 않도록 할 수 있습니다.
5 - 사전 공격
사전 공격은 무차별 대입 공격과 유사하지만, 사이버 범죄자가 단어나 문구를 예측해 패스워드 후보를 좁힌다는 점이 다르며, 그 단어나 문구에는 개인의 애완동물이나 자녀의 이름, 주소, 회사 정보, 생년월일, 기타 자주 사용하는 패스워드 등이 포함됩니다.
사이버 범죄자들은 일치하는 단어를 찾을 때까지 이러한 '사전 단어'를 순환하는 알고리즘을 만듭니다. 해커는 이 정보를 어떻게 얻을까요?
회사/개인 웹사이트와 SNS에서 무료로 확인할 수 있습니다. 해커는 한 시간 미만의 조사로 반려동물과 가족의 이름, 생일, 거주지, 직장, 다니고 있는 헬스장 등을 알아낼 수 있습니다. 해커는 이 모든 키워드를 알고리즘에 입력하고 나머지는 봇이 알아서 하도록 할 수 있습니다.
TeamPassword의 패스워드 생성기를 사용하면 익숙하거나 쉽게 알아볼 수 있는 패스워드를 사용하지 않으므로 회사가 사전 공격의 피해를 당할 위험을 없앨 수 있습니다.
패스워드를 보호하기 위해 TeamPassword를 사용해보세요
다음은 이 글에서 가장 전하고 싶었던 내용입니다.
- 패스워드 재사용 하지 않기
- 취약한 패스워드를 만들거나 익숙한 문구를 사용하지 않기
- 사용 가능한 경우 항상 2단계 인증 사용하기
TeamPassword의 안전한 패스워드 관리 솔루션으로 패스워드 공격으로부터 회사를 보호하세요. 팀원들과 안전하게 패스워드를 공유하는 방법을 테스트하려면 14일 동안 무료로 TeamPassword를 사용해 보세요.