무차별 암호 대입 공격이란 무엇입니까?

무차별 암호 대입 공격은 비밀번호를 모두 조합하여 금고를 열려는 도둑처럼 가용한 모든 조합을 시도하여 데이터를 해킹합니다.

Share facebook icon linkedin icon twitter icon email icon

무차별 암호 대입 공격

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 더욱 정교한 공격으로부터 무차별 암호 대입 공격 구분
  • 무차별 암호 대입 공격의 장점과 단점 정의
  • 무차별 암호 대입 공격을 막는 최선의 방법 설명

무차별 암호 대입 공격이란 무엇입니까?

무차별 암호 대입 공격이란 민감한 데이터를 해킹하기 위한 무작위 대입 방법입니다. 무차별 암호 대입 공격은 비밀번호와 암호화 키를 해킹하는 데 가장 일반적으로 사용됩니다(암호화 키에 대한 자세한 내용은 계속 읽으세요). 이외에도 API 키와 SSH 로그인 정보를 해킹하는 데 무차별 암호 대입 공격이 사용됩니다. 무차별 암호 대입 공격은 웹사이트의 로그인 페이지를 노리는 스크립트나 에 의해 종종 이루어집니다.

무차별 암호 대입 공격이 다른 해킹 방법과 다른 점은 지능형 전략을 사용하지 않는다는 점입니다. 즉 올바른 조합을 찾을 때까지 다양한 문자 조합을 시도할 뿐입니다. 이 방법은 비밀번호를 모두 조합하여 금고를 열려는 도둑과 같은 방법입니다.

무차별 암호 대입 공격의 장점과 단점은 어떻게 되나요?

무차별 암호 대입 공격의 가장 큰 장점은 비교적 실행이 간단하고, 시간이 충분하고 대상에 완화 전략이 부족하다면 언제나 효과가 있다는 것입니다. 모든 비밀번호 기반 시스템과 암호화 키는 무차별 암호 대입 공격으로 해킹할 수 있습니다. 사실, 무차별 암호 대입 공격이 시스템을 해킹하는 데 걸리는 시간은 시스템의 보안 레벨을 측정할 때 유용한 지표입니다.

반면에 무차별 암호 대입 공격은 목표를 달성하기 위해 가능한 문자 조합을 모두 시도해야 할 수 있기 때문에 매우 느립니다. 이러한 단점은 대상 스트링의 문자 개수가 증가하면 더욱 커집니다(스트링은 문자 조합입니다). 예를 들어 무차별 암호 대입 공격이 해킹하는 데 걸리는 시간은 4자리 비밀번호가 3자리 비밀번호보다 매우 길며 5자리 비밀번호가 4자리 비밀번호보다 매우 깁니다. 문자 개수가 특정한 개수 이상이면 무차별 암호 대입 공격의 해킹 가능성은 비현실적이 됩니다.

Brute Force Cracking Times

대상 스트링이 충분히 길다면 무차별 암호 대입 공격이 비밀번호를 알아내는 데 며칠, 몇 달 또는 몇 년이 걸릴 수도 있습니다. 더 긴 비밀번호와 암호화 키를 요구하는 현재 트렌드 때문에 무차별 암호 대입 공격은 매우 어렵습니다. 양호한 비밀번호와 암호화가 사용되는 경우 해커는 일반적으로 소셜 엔지니어링이나 메시지 가로채기 공격 같은 다른 해킹 방법을 사용합니다.

무차별 암호 대입 공격을 막는 방법

인증 시스템을 관리하는 개발자는 로그인 실패가 너무 많은 IP 주소를 차단하고 비밀번호 확인 소프트웨어를 지연시키는 것 같은 조치를 취할 수 있습니다. 몇 초만 지연해도 무차별 암호 대입 공격의 효과를 크게 떨어트릴 수 있습니다.

웹 서비스 사용자는 더 길고 복잡한 비밀번호를 선택하여 무차별 암호 대입 공격에 대한 취약성을 줄일 수 있습니다. 또한 2단계 인증을 사용하고 서비스마다 고유한 비밀번호를 사용할 것을 권장합니다. 해커가 무차별 암호 대입 공격으로 한 서비스에 대한 사용자의 비밀번호를 알아내면 동일한 로그인과 비밀번호를 다른 수많은 인기 서비스에 재사용할 수 있습니다. 이것이 바로 자격 증명 스터핑입니다.

더불어 사용자는 강력한 암호화 키로 데이터를 보호하지 않는 웹 서비스에 신용 카드 번호나 은행 정보 같은 비밀번호나 개인 정보를 입력하지 말아야 합니다.

암호화 키란 무엇입니까?

암호화 키는 데이터를 암호화하고 해제하기 위해 생성된 무작위 비트 스트링입니다. 데이터가 암호화되면 올바른 암호화 키로 해제될 때까지 무작위 문자 조합으로 보입니다. 비밀번호처럼 암호화 키도 무작입 대입 로그인 공격으로 해킹할 수 있지만 현재 사용되고 있는 암호화 키는 너무 길어서 최신 컴퓨터를 사용해도 해킹할 수 없는 것으로 여겨집니다.

128비트 암호화와 256비트 암호화는 어떻게 다릅니까?

암호화 키가 길면 짧은 것보다 훨씬 더 안전합니다. 예를 들어 128비트 암호화 키의 경우 무차별 암호 대입 공격이 해킹하려면 2128개의 조합을 시도해야 합니다. 256비트 암호화의 경우 해커는 2256개의 조합을 시도해야 합니다. 즉 128비트 키를 해킹하는 것보다 2128배 더 많은 컴퓨팅 파워가 필요합니다! (2128 = 340,282,366,920,938,463,463,374,607,431,768,211,456개 조합).

이 수치가 어떤 의미인지 실감할 수 있도록 예를 들어보겠습니다. 초당 수조 개의 조합을 확인할 수 있는 컴퓨터도 256비트 암호화 키를 해킹하는 데 1,000의 17제곱 년 이상이 걸릴 수 있습니다(1,000의 17제곱 년에는 96개의 0이 뒷따릅니다).

고비트 암호화 키는 사실상 현재 무차별 암호 대입 공격으로 해킹할 수 없기 때문에 사용자 정보를 수집하는 모든 웹 서비스에 256비트 암호화 키를 사용하여 데이터와 통신을 암호화하는 것을 권장합니다. Cloudflare는 동급 최고의 TLS 암호화를 사용하여 무차별 암호 대입 공격을 차단하며 향후 퀀텀 컴퓨팅에 대한 준비도 하고 있습니다.