무차별 공격/무작위 대입 공격(Brute Force Attack)

1. 개요
Brute Force Attack(무차별 공격)은 공격자가 모든 가능한 비밀번호나 키 조합을 시도하여 인증 시스템, 암호화 데이터, 또는 특정 자원을 무단으로 액세스하려는 공격 기법이다. 단순하지만 매우 효과적이며, 특히 비밀번호가 짧거나 복잡하지 않은 경우 성공 가능성이 높다

2. 공격 방법
   ① 대상 선정 : 공격자는 로그인 시스템, 암호화 데이터, 또는 특정 접근 권한이 필요한 자원을 표적으로 삼는다
   ② 모든 조합 시도 : 가능한 모든 비밀번호 또는 키 조합을 체계적으로 시도
   ③ 자동화 도구 사용 : Brute Force 공격은 일반적으로 자동화된 도구를 사용하여 수행

 

3. 대응 방법(Dictionary Attack과 동일)
  1) 강력한 비밀번호 사용
       - 최소 12자리 이상의 길고 복잡한 비밀번호 사용(대문자, 소문자, 숫자, 특수문자 조합 등)
       - 짧은 비밀번호 (예: "abcd", "1234" 등) 사용 금지
   2) 로그인 제한
       - 비밀번호 시도 제한 : 일정 횟수 이상 비밀번호 입력 실패 시 계정 잠금(예: 5번 실패 시 15분 잠금)
   3) CAPTCHA 사용 : 로그인 시도 횟수가 많아지면 CAPTCHA를 요구하여 자동화된 공격 방지
   4) 이중 인증(2FA) : 비밀번호 외에도 SMS, 이메일, OTP 등 추가 인증을 요구하여 보안 강화
   5) 비밀번호 정책
       - 주기적인 비밀번호 변경을 강제
       - 이전에 사용했던 비밀번호 재사용 금지

 

※ Brute Force와 Dictionary Attack의 차이

항목	Brute Force Attack	Dictionary Attack
공격 방식	가능한 모든 조합을 시도	사전에 준비된 단어 목록을 사용
효율성	복잡한 비밀번호에 대해 시간이 오래 걸림	사용자가 일반적인 단어를 비밀번호로 설정한 경우 효과적
리소스 소모	조합의 복잡도와 길이에 따라 리소스 소모 증가	단어 리스트 크기에 제한