비밀번호를 악용하는 공격 방법
비밀번호를 불법적으로 입수하는 방법으로는 다음과 같은 공격 방법이 있습니다.
무차별 대입 공격
무차별 대입 공격은 암호에 대해 이론적으로 생각할 수 있는 모든 암호 패턴을 입력하는 간단한 방법입니다.
예를 들어 비밀번호가 4자리 숫자인 경우 조합은 0000에서 9999까지의 10,000개가 됩니다.
이 모든 것을 시도하면 항상 올바른 암호를 찾을 수 있습니다.
이 작업을 수동으로 시도하는 것은 어렵지만 컴퓨터 프로그램에서 자동으로 실행하면 번거 로움없이 암호를 시도 할 수 있습니다.
사전 공격
사전 공격은 무차별 대입 공격의 일종으로 사전에 등록된 어구를 조합한 다양한 문자열을 입력하는 공격 방법입니다.
일반적인 단어나 인물명, 지명 등을 조합하여 비밀번호를 추측하고 로그인을 시도합니다.
비밀번호를 잊지 않도록 일반 단어 등을 사용하는 경우가 많기 때문에 이러한 비밀번호에 대해 사전 공격은 비교적 짧은 시간에 올바른 비밀번호를 찾습니다.
피싱
피싱은 실제 조직이나 서비스를 속여 주소나 ATM의 비밀번호, 신용카드 정보 등의 개인정보를 빼앗는 행위입니다.
수법으로서는, 금융기관이나 유명 기업을 착용해 알림의 척을 한 메일을 유저에게 보내, 준비한 진짜 사이트에 똑같은 가짜 사이트에 이용자를 유도합니다.
그래서 신용카드 번호나 각종 서비스의 ID, 패스워드 등을 입력시켜 정보를 훔칩니다.
중간자 공격
중간자 공격은 통신하는 두 사람 사이에 제3자가 개입하고 정보를 도청하거나 통신에 개입하는 공격 기법입니다.
공격자는 발견되지 않도록 해야 하므로 통신을 도청하면서 깨닫지 않도록 행동합니다.
그 때문에 피해를 당한 것을 깨닫는 것이 늦어지는 특징이 있습니다.
크리덴셜 스터핑
크리덴셜 스터핑은 도난당한 ID 및 비밀번호와 같은 계정 정보를 사용하여 다양한 온라인 서비스 등에 무단 로그인을 시도하는 공격 기술입니다.
이는 사용자가 여러 계정에서 동일한 암호를 사용하는 경우가 많습니다.
크리덴셜 스터핑에서는 자동화된 도구를 사용하여 다양한 서비스에 로그인을 시도합니다.
로그인에 성공하면 은행 계좌나 SNS에 액세스하는 등 다양한 부정 행위에 사용됩니다.
암호 스프레이 공격
암호 스프레이 공격은 여러 사용자 계정에 대해 동일한 암호로 로그인을 시도하는 공격 기술입니다.
로그인 시스템에서는 일정 횟수 로그인에 실패하면 일정 기간 로그인할 수 없도록 계정을 잠그는 메커니즘이 많이 있습니다.
암호 스프레이 공격에서는 하나의 비밀번호를 고정하고 계정 이름을 변경하면서 로그인을 시도합니다.
따라서 다른 사용자가 각각 로그인에 실패한 것처럼 보이므로 계정 잠금을 피할 수 있습니다.
키로거
키로거은 키보드나 마우스와 같은 장치의 입력을 기록하는 소프트웨어와 하드웨어입니다.
원래는, PC로 어떠한 조작을 했는지를 기록해 두기 위한 것입니다만, 패스워드나 신용카드 번호 등 정보를 훔치기 위해서 부정 이용되고 있습니다.
키로거은 키보드로 입력한 내용을 취득할 수 있기 때문에 로그인시의 ID와 패스워드를 도난당해 부정 로그인되거나 신용카드 정보 등의 개인정보가 도난당하게 됩니다.