인증 기반 공격 설명

  • 4분

인증 공격은 누군가가 다른 사람의 자격 증명을 도용하려고 할 때 발생합니다. 그런 다음, 해당 사람을 가장할 수 있습니다. 이러한 유형의 공격은 합법적인 사용자를 가장하는 것을 목표로 하기 때문에 종종 ID 공격이라고도 합니다. 일반적인 공격에는 다음이 포함되지만 이에 국한되지는 않습니다.

  • 무차별 암호 대입 공격
  • 사전 공격
  • 자격 증명 스터핑
  • 키로깅
  • 사회 공학

무차별 암호 대입 공격

무차별 암호 대입 공격에서 범죄자는 단순히 다른 사용자 이름 및 암호 조합을 시도하여 액세스 권한을 획득하려고 시도합니다. 일반적으로 공격자는 수백만 개의 사용자 이름과 암호 조합을 사용하여 이 프로세스를 자동화하는 도구를 제공합니다. 1단계 인증을 사용하는 단순 암호는 무차별 암호 대입 공격에 취약합니다.

사전 공격

사전 공격은 일반적으로 사용되는 단어 사전이 적용되는 무차별 암호 대입 공격의 한 형태입니다. 사전 공격을 방지하려면 암호에 기호, 숫자 및 여러 단어 조합을 사용하는 것이 중요합니다.

자격 증명 스터핑

자격 증명 스터핑은 많은 사람들이 여러 사이트에서 동일한 사용자 이름과 암호를 사용한다는 사실을 활용하는 공격 방법입니다. 공격자는 일반적으로 한 사이트에서 데이터 보안 위반이 발생한 후 얻은 도난 자격 증명을 사용하여 다른 영역에 액세스하려고 시도합니다. 공격자는 일반적으로 소프트웨어 도구를 사용하여 이 프로세스를 자동화합니다. 자격 증명 스터핑을 방지하려면 암호를 다시 사용해서는 안 되며, 특히 보안 위반 후에 정기적으로 변경하는 것이 중요합니다.

키로깅

키로깅에는 키 입력을 기록하는 악성 소프트웨어가 포함됩니다. 공격자는 키 로거를 사용하여 사용자 이름 및 암호 조합을 기록(도용)할 수 있으며, 이 조합은 자격 증명 스터핑 공격에 사용할 수 있습니다. 이는 인터넷 카페 또는 액세스에 공유 컴퓨터를 사용하는 모든 곳에서 일반적인 공격입니다. 키로깅을 방지하려면 신뢰할 수 없는 소프트웨어를 설치하지 마시고 신뢰할 수 있는 바이러스 검사 소프트웨어를 사용하세요.

키로깅은 컴퓨터로만 제한되지 않습니다. 악의적인 행위자가 ATM의 카드 판독기 및 키패드 위에 상자 또는 디바이스를 설치한다고 가정해 보겠습니다. 카드를 삽입하면 먼저 악의적인 행위자 카드 판독기(카드 세부 정보를 캡처한 후 ATM 카드 판독기에 공급)를 통해 전달됩니다. 이제 악의적인 행위자의 키패드를 사용하여 핀에 키를 입력하면 핀도 얻습니다.

사회 공학

소셜 엔지니어링에는 사람들이 정보를 공개하거나 공격을 활성화하는 작업을 완료하도록 하는 시도가 포함됩니다.

대부분의 인증 공격에는 컴퓨터를 악용하거나 여러 자격 증명 조합을 시도하려는 시도가 포함됩니다. 소셜 엔지니어링 공격은 사람의 취약성을 악용한다는 점에서 다릅니다. 공격자는 합법적인 사용자의 신뢰를 얻으려고 시도합니다. 사용자가 정보를 공개하거나 손상을 입거나 정보를 도용할 수 있는 조치를 취하도록 합니다.

인증 도난에 사용할 수 있는 소셜 엔지니어링 기술은 다음과 같습니다.

  • 피싱은 공격자가 사용자에게 인증 자격 증명을 공개하기 위해 합법적인 것으로 보이는 이메일을 보낼 때 발생합니다. 예를 들어 사용자의 은행에서 보낸 이메일이 표시될 수 있습니다. 은행의 로그인 페이지처럼 보이지만 실제로는 가짜 사이트인 링크가 열립니다. 사용자가 가짜 사이트에 로그인하면 공격자가 자격 증명을 사용할 수 있게 됩니다. 특정 조직, 비즈니스 또는 개인을 대상으로 하는 스피어 피싱을 비롯한 여러 가지 피싱 변형이 있습니다.
  • 프리텍스팅은 공격자가 공격자의 신뢰를 얻고 보안 정보를 공개하도록 유도하는 방법입니다. 이는 ID를 도용하는 데 사용할 수 있습니다. 예를 들어 해커가 은행에서 온 것처럼 가장해 사용자에게 전화를 걸어 사용자의 신원을 확인하기 위한 암호를 요청할 수 있습니다. 또 다른 방법은 소셜 미디어를 사용하는 것입니다. 설문 조사나 퀴즈를 완료하라는 요청을 받을 수 있는데, 이는 겉보기에는 무작위적이고 순수한 질문들로 사용자가 개인적인 사실을 드러내게 하거나, 첫 번째 애완동물의 이름과 사용자가 태어난 장소를 사용하여 판타지 팝스타 밴드의 이름을 만드는 것과 같이 재미있어 보이는 것을 얻을 수 있습니다.
  • 베이팅은 보안 정보를 공개하도록 유도하기 위해 범죄자가 가짜 보상이나 상품을 제공하는 공격의 한 형태입니다.

기타 인증 기반 공격 방법

다음은 인증 기반 공격의 몇 가지 예일 뿐입니다. 항상 새로운 공격 유형이 발생할 가능성이 있지만, 여기에 나열된 모든 공격 유형은 사람들을 교육하고 다단계 인증을 사용하여 방지할 수 있습니다.