무차별 대입 공격

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 무차별 대입 공격의 원리 및 유형
3. 암호화 방식과의 관계
- 3.1. 소수를 이용한 RSA 암호화 방식
- 3.2. 양자 암호 (BB84 프로토콜)
4. 무차별 대입 공격의 문제점 및 영향
- 4.1. 문제점
- 4.2. 사회적 영향
5. 방어 수단
- 5.1. 일반적인 방어 수단
- 5.2. 봇넷을 이용한 공격 방어
참조

1. 개요

무차별 대입 공격은 모든 가능한 암호 조합을 시도하여 암호를 해독하는 방식으로, 암호 길이가 길수록 해독에 필요한 시간과 자원이 기하급수적으로 증가한다. 공격에 필요한 자원은 키 크기에 따라 지수적으로 증가하며, 계산 능력의 발전으로 인해 256비트 키조차도 이론적으로 해독이 가능해지고 있다. 공격에는 완전한 키 공간, 난수 생성의 효율성, 알고리즘과 구현의 결함 부재가 기본적으로 요구된다. 이러한 공격은 자격 증명 재활용, 역방향 무차별 대입 공격 등 다양한 형태로 발전하며, RSA 암호화 방식과 같은 암호화 방식의 안전성에 영향을 미친다. 무차별 대입 공격은 서버 과부하, 사용자 불편, IP 차단으로 인한 정상 사용자의 피해 등 다양한 문제점을 야기하며, 이에 대응하기 위해 비밀번호 길이 증가, 다단계 인증, 계정 잠금, IP 차단, 침입 탐지 시스템 도입 등 다양한 방어 수단이 활용된다. 봇넷을 이용한 공격은 기존의 방어 수단을 무력화할 수 있으므로, 봇넷 탐지 및 차단, 트래픽 분석 기술 등의 추가적인 노력이 필요하다.

더 읽어볼만한 페이지

암호학 - 양자 컴퓨터
양자 컴퓨터는 양자역학적 현상을 이용하여 정보를 처리하는 컴퓨터로, 큐비트를 통해 0과 1을 동시에 표현하여 특정 연산에서 기존 컴퓨터보다 빠른 속도를 보이며 암호 해독, 신약 개발 등 다양한 분야에 혁신을 가져올 것으로 기대된다.
암호학 - 암호화
암호화는 정보를 보호하기 위해 사용되는 기술로서, 단순한 문자 치환 방식에서 시작하여 현대에는 강력한 암호화 표준과 다양한 종류로 발전했으며, IT 시스템 전반에 적용되지만, 사이버 공격과 양자 컴퓨팅의 발전에 대한 대응이 필요한 기술이다.

무차별 대입 공격
암호 해독
유형	암호 분석
특징	가능한 모든 키 또는 비밀번호 시도
공격 종류
암호 공격	사전 공격 무지개 테이블
웹 애플리케이션 공격	자격 증명 스터핑 브루트 포스 디렉터리 검색
보호 방법
일반적인 대책	계정 잠금 CAPTCHA IP 차단 다단계 인증
비밀번호 보안	강력한 비밀번호 정책 키 스트레칭

2. 무차별 대입 공격의 원리 및 유형

무차별 대입 공격은 가능한 모든 키 조합을 대입하여 올바른 암호를 찾는 방식으로 작동한다.^[5] 이 방법은 이론상 모든 암호를 해독할 수 있지만, 암호의 길이가 길어질수록 해독에 걸리는 시간이 기하급수적으로 증가한다.

사람이 직접 모든 조합을 시도하는 것은 매우 오랜 시간과 육체적, 정신적 부담이 크기 때문에, 주로 컴퓨터를 이용하여 비밀번호를 검증한다.

저장된 인증 정보의 비밀번호가 길고 암호화 수준이 높을수록 공격에 필요한 시간과 컴퓨팅 성능도 높아진다. 따라서 현대 암호화 시스템에서는 키 길이를 늘리고 다양한 문자를 조합하는 방식으로 무차별 대입 공격에 대한 방어력을 높인다.

일회용 패드 암호화와 같이, 수학적 속성으로 인해 무차별 대입 공격으로 해독할 수 없는 암호화 방식도 존재한다. 일회용 패드는 모든 평문 비트가 진정으로 임의적인 키 비트 시퀀스로부터 해당하는 키를 가지므로, 무차별 대입 공격으로 해독하더라도 어떤 것이 정답인지 알 수 없다.

2. 1. 기본 개념

무차별 대입 공격은 암호를 구성할 수 있는 모든 가능한 조합을 계산하고 올바른 암호인지 테스트하는 방식으로 작동한다. 암호의 길이가 길어질수록 올바른 암호를 찾는 데 걸리는 평균 시간은 기하급수적으로 증가한다.^[5]

현대 암호화 시스템에서는 무차별 대입 공격에 대한 방어력을 높이기 위해 키 길이를 늘리고, 다양한 문자를 조합한다. 예를 들어 숫자, 영문 대소문자, 특수문자를 조합하여 암호를 만들면 훨씬 더 많은 경우의 수가 발생하여 공격에 더 오랜 시간이 걸리게 된다.

다음은 사용하는 문자 종류와 길이에 따른 총 패턴 시도 횟수를 나타낸 표이다.

총력 공격의 전체 패턴 시도 횟수
사용하는 문자 종류	1문자 사용 시	4문자 사용 시	6문자 사용 시	8문자 사용 시	10문자 사용 시
숫자만(0~9)	10	10,000	1,000,000	100,000,000	10,000,000,000
영문자(대문자, 소문자 구분 안 함)	26	456,976	308,915,776	208,827,064,576	141,167,095,653,376
영문자(대소문자 구분 안 함) + 숫자	36	1,679,616	2,176,782,336	2,821,109,907,456	3,656,158,440,062,976
영문자(대문자, 소문자 구분) + 숫자	62	14,776,336	56,800,235,584	218,340,105,584,896	839,299,365,868,340,224
영문자(대소문자 구분) + 숫자 + 기호 31자	93	74,805,201	646,990,183,449	5,595,818,096,650,401	48,388,230,717,929,320,352
영문자(대소문자 구분) + 숫자 + 기호 34자	96	84,934,656	782,757,789,696	7,213,895,789,838,336	66,483,263,599,150,104,576

독립 행정법인 정보처리진흥기구(IPA)의 2008년 시험 결과에 따르면, 비밀번호 해독에는 다음과 같은 시간이 소요된다.^[12]

사용 가능한 문자 수와 입력 자릿수에 따른 비밀번호 최대 해독 시간(IPA, 2008)
사용하는 문자 종류	4자리 사용 시	6자리 사용 시	8자리 사용 시	10자리 사용 시
영문자(대문자, 소문자 구분 안 함)	약 3초	약 37분	약 17일	약 32년
영문자(대문자, 소문자 구분) + 숫자	약 2분	약 5일	약 50년	약 20만 년
영문자(대문자, 소문자 구분) + 숫자 + 기호	약 9분	약 54일	약 1천 년	약 1천만 년

위 시험에는 Intel Core 2 Duo T7200 2.00GHz, 메모리 3GB 사양의 컴퓨터가 사용되었다.

2. 2. 이론적 한계

란다우어 한계에 따르면 계산 과정에서 정보가 지워질 때 발생하는 에너지 소모량에는 하한선이 존재한다. 비가역 컴퓨팅 장치는 원리적으로 이보다 적은 에너지를 사용할 수 없다.^[1] 128비트 대칭 키에 대한 가능한 모든 값을 확인하려면 이론적으로 기존 프로세서에서 ''2¹²⁸ − 1'' 비트 플립이 필요하다.

실온(≈300 K)에서 계산이 이루어진다고 가정하면, 폰 노이만-란다우어 한계에 따라 필요한 에너지는 ≈10¹⁸ 줄로 추정된다. 이는 1년 동안 30 기가와트의 전력을 소비하는 것과 같으며, 262.7 TWh (연간 세계 에너지 생산량)의 약 0.1%에 해당한다. 실제 계산에는 이보다 훨씬 많은 에너지가 소요되며, 각 비트를 전환하는 데 걸리는 시간은 고려되지 않았다.

하지만 이 주장은 레지스터 값이 기존의 설정 및 지우기 연산을 통해 변경된다고 가정하며, 이는 불가피하게 엔트로피를 생성한다. 가역 컴퓨팅을 사용하면 이러한 이론적 한계를 극복할 수 있지만, 아직 실제로 구현되지는 않았다.

2. 3. 공격 기술의 발전

최신 그래픽 처리 장치(GPU)는 하드웨어 기반 암호 크래킹과 관련된 반복적인 작업에 매우 적합하다.

맞춤형 하드웨어 공격이라고도 알려진 두 가지 새로운 기술, 즉 최신 그래픽 처리 장치(GPU) 기술과^[6]^[7] 필드 프로그래머블 게이트 어레이(FPGA) 기술이 특정 암호의 무차별 대입 공격에서 그 능력을 입증했다. GPU는 광범위한 가용성과 가격 대비 성능의 이점을, FPGA는 암호화 작업당 효율적인 에너지 사용에서 이점을 얻는다. 두 기술 모두 병렬 처리의 이점을 무차별 대입 공격으로 전송하려고 하며, GPU의 경우 수백 개, FPGA의 경우 수천 개의 처리 장치가 기존 프로세서보다 암호를 해독하는데 훨씬 더 적합하다. 예를 들어 2022년에는 8개의 Nvidia RTX 4090 GPU가 연결되어 소프트웨어 Hashcat을 사용하여 암호 강도를 테스트했으며, 2000억 개의 8자 NTLM 암호 조합을 48분 만에 처리할 수 있다는 결과가 나왔다.

암호 분석 분야의 다양한 간행물에서 오늘날의 FPGA 기술의 에너지 효율성을 입증했다. 예를 들어 COPACOBANA FPGA 클러스터 컴퓨터는 단일 PC(600 W)와 동일한 에너지를 소비하지만 특정 알고리즘의 경우 2,500대의 PC처럼 작동한다. 여러 회사에서 단일 FPGA PCI Express 카드에서 전용 FPGA 컴퓨터에 이르기까지 하드웨어 기반 FPGA 암호 분석 솔루션을 제공한다. WPA 및 WPA2 암호화는 기존 CPU에 비해 50배, FPGA의 경우 수백 배로 작업 부하를 줄여 무차별 대입 공격에 성공적으로 사용되었다.^[8]

6개의 Xilinx Spartans를 자랑하는 단일 COPACOBANA 보드 – 클러스터는 이 보드 20개로 구성된다

고급 암호화 표준(AES)은 256비트 키 사용을 허용한다. 무차별 대입 방식으로 256비트 키를 해독하려면 128비트 키보다 2¹²⁸배 더 많은 계산 능력이 필요하다. 2019년 가장 빠른 슈퍼컴퓨터 중 하나는 초당 100 페타플롭스의 속도를 가지고 있으며, 이론적으로 초당 100조(10¹⁴)개의 AES 키를 확인할 수 있지만(확인당 1000개의 연산을 가정), 256비트 키 공간을 모두 확인하는 데는 여전히 3.67×10⁵⁵년이 필요하다.

2. 4. 파생 공격 유형

사전 공격은 자주 사용되는 비밀번호 목록(사전)을 이용하여 공격하는 방식으로, 무차별 대입 공격보다 효율적일 수 있다. 해커들은 "잘 맞는 효율적인 사전"을 육성하기 위해 "과거 유출된 비밀번호의 경향성 분석"을 하기도 하며, 어떤 사전이 우수한지 경쟁하기도 한다.

역 무차별 대입 공격은 특정 비밀번호를 여러 사용자 계정에 시도하는 방식이다. 이는 흔한 비밀번호를 사용하는 사용자를 대상으로 하며, "역총공격"이라고도 불린다. 예를 들어 "ID는 반드시 연속된 숫자 10자리, 비밀번호는 반드시 숫자 4자리"와 같은 시스템에서 비밀번호에 편향이 없다고 가정하면, 비밀번호 "1234"를 10,000개의 ID에 대해 시도하면 하나의 ID에 부정한 로그인이 가능할 수 있다. 이 공격은 은행 ATM과 같이 "하나의 ID에 대한 비밀번호 시도 횟수를 제한하는" 방어 방법으로는 막을 수 없다.^[11]

2014년 1월 말부터 3월까지 JAL 및 ANA의 마일리지 서비스에 대해 이루어진 부정 접속은 비밀번호 잠금이 걸리기 직전까지 총공격을 실행하고, 잠금 직전에 ID를 변경하는 "총공격"과 "역총공격"의 조합으로 이루어졌다.^[16]

자격 증명 재활용은 이전 무차별 대입 공격에서 수집된 사용자 이름과 비밀번호 조합을 재사용하는 해킹 행위이다.^[9]

3. 암호화 방식과의 관계

이 문단은 C. H. Bennet과 G. Brassard가 1984년 IEEE International Conference on Computers, Systems, and Signal Processing에서 발표한 《Quantum Cryptography: Public key distribution and coin tossing》 논문과 Bouwmeester, Dirk, Artur K. Ekert, Anton Zeilinger가 저서한 Springer社의 《The physics of quantum information :quantum cryptography, quantum teleportation, quantum computation》을 토대로 작성했다.^[18]^[19]

1984년 C. H. Bennet과 G. Brassard는 양자 암호에 대한 논문을 발표하면서 BB84 프로토콜을 제안했다. BB84 프로토콜은 송신자(엘리스)와 수신자(밥) 사이에 OTP를 생성하는 프로토콜이다. BB84 프로토콜을 통해 엘리스와 밥은 임의의 난수를 생성할 수 있으며, 중간에 도청자(이브)가 난입하여 정보를 가로채려는 시도를 해도 정확한 정보 획득이 어려울 뿐만 아니라, 신호가 왜곡되어 이브의 존재가 드러나게 된다.

Basis	0	1
십자 필터	세로 편광	가로 편광
대각 필터	대각(↗) 편광	대각(↘) 편광

BB84 프로토콜에서는 위 표와 같이 0비트의 상태를 나타내는 편광 2가지와 1비트의 상태를 나타내는 편광 2가지를 정의한 다음 십자 필터와 대각 필터를 통해 측정하게 된다.

3. 1. 소수를 이용한 RSA 암호화 방식

RSA 암호는 1978년에 매사추세츠 공과 대학(MIT)의 리베스트(R. Rivest), 샤미르(A. Shamir), 아델먼(L. Adelman)이 공동으로 개발했으며, 그들 이름의 앞 글자를 따서 붙인 이름이다. RSA 암호는 큰 수의 소인수분해에 많은 시간이 필요하나 소인수분해의 결과를 알면 원래의 수는 곱셈으로 간단히 구해지는 사실에 바탕을 두고 있다.

3. 2. 양자 암호 (BB84 프로토콜)

1984년 C. H. Bennet과 G. Brassard가 양자 암호에 대한 논문을 발표하면서 같이 제안한 양자 암호 통신 프로토콜이다. 송신자(엘리스)와 수신자(밥) 사이에 OTP를 생성하는 프로토콜이며, 아래 표와 같이 0비트의 상태를 나타내는 편광 2가지와 1비트의 상태를 나타내는 편광 2가지를 정의한 다음 십자 필터와 대각 필터를 통해 측정하게 된다.^[18]^[19]

Basis	0	1

이 프로토콜을 통해 엘리스와 밥은 임의의 난수를 생성할 수 있으며, 중간에 도청자(이브)가 난입하여 정보를 가로채려는 시도를 해도 정확한 정보 획득이 어려울 뿐만 아니라, 신호가 왜곡되어 이브의 존재가 드러나게 된다. BB84 프로토콜의 전체적인 흐름은 다음과 같다.

1. 엘리스가 임의의 비트를 생성한다.

2. 비트를 전송할 편광 신호로 변환하기 위해 필터(십자 또는 대각)를 하나 선택한다.

3. 선택한 필터에 대응되는 편광 신호를 생성하고 양자 채널로 보낸다.

4. 밥은 측정하기 위한 편광 필터(십자 또는 대각)를 임의로 선택한다.

5. 선택한 편광 필터로 값을 측정하여 보관한다.

6. 엘리스와 밥은 퍼블릭 채널(도청 가능)을 통해 같은 필터를 사용했는지 여부를 검증한다.

7. 같은 필터를 사용한 비트에 대해서만 보관하고 서로 다른 필터를 사용한 비트는 제거한다.

이와 같은 과정을 거치면 엘리스와 밥은 같은 값을 공유하게 되며 이것을 비밀키로 활용하게 된다. 아래 표는 BB84 프로토콜의 예시이다.

엘리스가 생성한 비트	0	1	1	0	1	0	0	1
엘리스가 전송하는 편광 필터
엘리스가 전송하는 광자 편광 신호
밥이 선택한 측정 필터
밥이 측정한 편광 상태
전송 패드와 측정 패드가 일치하는지 여부 검증	퍼블릭 채널을 통한 데이터 교환(도청 가능)
최종적으로 생성되는 비밀키	0		1			0		1

4. 무차별 대입 공격의 문제점 및 영향

무차별 대입 공격은 암호를 구성할 수 있는 모든 가능한 조합을 계산하고 올바른 암호인지 테스트하는 방식으로 작동한다. 암호의 길이가 길어질수록 올바른 암호를 찾는 데 걸리는 평균 시간은 기하급수적으로 증가한다.^[5]

자격 증명 재활용은 이전 무차별 대입 공격에서 수집된 사용자 이름과 비밀번호 조합을 재사용하는 해킹 행위이다. 자격 증명 재활용의 특별한 형태는 패스 더 해시이며, 여기서는 솔트 처리되지 않은 해시된 자격 증명을 무차별 대입하지 않고 훔쳐서 재사용한다.^[9]

역방향 무차별 대입 공격은 단일 (일반적으로 흔한) 비밀번호를 여러 사용자 이름 또는 암호화된 파일에 대해 테스트하는 방식이다.^[11] 이 과정은 선택된 몇 개의 비밀번호에 대해 반복될 수 있다. 이러한 전략에서 공격자는 특정 사용자를 목표로 삼지 않는다.

무차별 대입 공격은 서버에 과도한 접속을 유발하여 서비스 속도를 저하시킨다. 또한, 이러한 공격을 방어하기 위해 비밀번호 입력 방식을 복잡하게 만들지만, 이는 사용자의 불편을 초래한다.^[6]^[7]^[8]^[9] 특정 IP 주소를 차단하는 과정에서 정상적인 사용자가 차단될 수 있으며, 공격 시도 횟수 제한에 도달한 ID가 잠기는 경우에도 정상적인 사용자가 피해를 볼 수 있다.

이러한 공격은 IT 보안 및 관리 비용을 증가시킨다. 비밀번호 자릿수가 늘어나고 복잡해짐에 따라 사용자가 비밀번호를 잊어버리는 문제도 발생하며, 이는 IT 비용과 사무 처리 부담을 가중시킨다.

4. 1. 문제점

무차별 대입 공격은 정답 키워드가 길수록 정답을 찾는 데 걸리는 시간이 기하급수적으로 늘어난다는 문제점이 있다.^[5] 또한 공격 대상 시스템이 응답하지 않으면 검증 작업이 중단된다.

일반적으로 비밀번호로 보호되는 컴퓨터는 일정 시간 동안 일정 횟수 이상 비밀번호를 틀리면 접근을 금지하도록 설계되어 있어, 무차별 대입 공격으로 분석하기 어렵다. 이는 은행의 현금 자동 입출금기에서 비밀번호를 여러 번 틀리면 더 이상 조작할 수 없게 되는 것과 같은 원리이다.

아래 표는 사용하는 문자 종류와 길이에 따른 총 시도 횟수를 나타낸다.

총력 공격의 전체 패턴 시도 횟수
사용하는 문자 종류	1문자 사용 시	4문자 사용 시	6문자 사용 시	8문자 사용 시	10문자 사용 시
숫자만(0~9)	10	10,000	1,000,000	100,000,000	10,000,000,000
영문자(대문자, 소문자 구분 안 함)	26	456,976	308,915,776	208,827,064,576	141,167,095,653,376
영문자(대소문자 구분 안 함) + 숫자	36	1,679,616	2,176,782,336	2,821,109,907,456	3,656,158,440,062,976
영문자(대문자, 소문자 구분) + 숫자	62	14,776,336	56,800,235,584	218,340,105,584,896	839,299,365,868,340,224
영문자(대소문자 구분) + 숫자 + 기호 31자	93	74,805,201	646,990,183,449	5,595,818,096,650,401	48,388,230,717,929,320,352
영문자(대소문자 구분) + 숫자 + 기호 34자	96	84,934,656	782,757,789,696	7,213,895,789,838,336	66,483,263,599,150,104,576

독립 행정법인 정보처리진흥기구(IPA)가 2008년에 실시한 시험에 따르면, 비밀번호 해독에는 아래와 같은 시간이 필요하다.^[12]

사용 가능한 문자 수와 입력 자릿수에 따른 비밀번호 최대 해독 시간(IPA, 2008)
사용하는 문자 종류	4자리 사용 시	6자리 사용 시	8자리 사용 시	10자리 사용 시
영문자(대문자, 소문자 구분 안 함)	약 3초	약 37분	약 17일	약 32년
영문자(대문자, 소문자 구분) + 숫자	약 2분	약 5일	약 50년	약 20만 년
영문자(대문자, 소문자 구분) + 숫자 + 기호	약 9분	약 54일	약 1천 년	약 1천만 년

4. 2. 사회적 영향

무차별 대입 공격은 서버에 수많은 접속을 시도하여 과부하를 일으키고, 서비스 속도를 느리게 만든다. 이러한 공격을 막기 위해 비밀번호 입력 방식을 복잡하게 만들지만, 이는 사용자의 불편을 초래한다.^[6]^[7]^[8]^[9]

무차별 대입 공격 방어를 위해 특정 IP 주소를 차단하는 과정에서 정상적인 사용자가 차단되어 서비스를 이용하지 못하는 문제가 발생할 수 있다. 공격 시도 횟수 제한에 도달한 ID가 잠기는 경우에도 정상적인 사용자가 피해를 볼 수 있다.

이러한 공격은 IT 보안 및 관리 비용을 증가시킨다. 비밀번호 자릿수가 늘어나고 복잡해짐에 따라 사용자가 비밀번호를 잊어버리는 문제도 발생하며, 이는 IT 비용과 사무 처리 부담을 늘리는 결과를 가져온다.

5. 방어 수단

무차별 대입 공격에 대한 방어는 개인과 기업 모두에게 중요한 과제이다. 암호의 길이가 길어질수록 올바른 암호를 찾는 데 걸리는 평균 시간은 기하급수적으로 증가한다.^[5]

오프라인 공격과 달리 온라인 공격의 경우, 데이터베이스 및 디렉터리 관리자는 암호 시도 횟수 제한, 연속 시도 간의 시간 지연, CAPTCHA 또는 다단계 인증 사용과 같은 답변 복잡성 증가, 실패한 로그인 시도 후 계정 잠금 등의 대처 방안을 사용할 수 있다. 웹사이트 관리자는 특정 IP 주소가 사이트의 모든 계정에 대해 미리 정해진 횟수 이상 암호 시도를 하지 못하도록 할 수 있다.

공격받더라도 주요 시스템 침입이 어렵도록 시스템을 구축하는 것이 중요하다.

5. 1. 일반적인 방어 수단

무차별 대입 공격에 대한 일반적인 방어 수단은 다음과 같다.

비밀번호 강화:
자릿수를 늘리고, 길이를 늘린다.
기호나 한자 등 다양한 문자를 사용하여 비밀번호 패턴을 복잡하게 만든다.
이중 인증: 보안 코드 등 두 번째 비밀번호를 추가하여 보안을 강화한다. Two-factor authentication^영어
접속 제한:
비밀번호 시도 횟수를 제한한다.
특정 접속원(IP 주소 등)을 제한한다.
일정 속도 이상의 비밀번호 시도를 금지한다.
자동 변경 비밀번호: 일회용 비밀번호, 보안 토큰과 같이 수 분마다 자동으로 변경되는 비밀번호를 사용한다.
관리자 알림: 일정 횟수 이상 오류 발생 시 관리자에게 경고 이메일을 보낸다.
상시 감시 시스템: 사람이 직접 비정상적인 비밀번호 시도가 없는지 감시한다.

하지만 이러한 방어 수단에도 불구하고 공격 방법은 계속 발전하고 있으므로, 제시된 방어 수단이 언제나 유효하지 않을 수 있다는 점을 고려해야 한다. MITRE D3FEND 프레임워크는 네트워크 트래픽 필터링, 미끼 자격 증명 배포, 인증 캐시 무효화와 같은 전략을 통해 무차별 대입 공격을 방어하기 위한 구조화된 권고 사항을 제공한다.^[9]

5. 2. 봇넷을 이용한 공격 방어

봇넷을 이용한 분산 공격은 "하나의 접속원으로부터의 비밀번호 시도 횟수를 제한한다", "일정 속도 이상의 비밀번호 시도를 금지한다"와 같은 기존 방어 수단을 무력화시킬 수 있다.^[16] 봇넷은 바이러스 감염 등으로 장악한 여러 대의 컴퓨터를 이용하여 공격하기 때문에, 각 컴퓨터가 공격 시도를 분담하면 개별 컴퓨터의 시도 횟수는 적어 탐지가 어렵다. 이는 마치 범죄 조직원 만 명이 각자 한 장씩의 현금 카드를 가지고 ATM을 방문하여 비밀번호를 시도하는 상황과 유사하다.

이러한 봇넷 공격은 역 무차별 대입 공격과 조합될 수도 있다.

참조

_[1] 뉴스 The Secret Life of Passwords. The New Times. https://www.nytimes.[...] 2014
_[2] 간행물 Code Obfuscation against Static and Dynamic Reverse Engineering http://dx.doi.org/10[...] Springer Berlin Heidelberg 2021-09-05
_[3] 웹사이트 Secure your site from Brute force attacks using Sebsoft's Anti Hammering Authentication Plugin #MoodlePlugins #MoodleSecurity https://www.elearnma[...] e Learn Magazine 2022-10-27
_[4] 웹사이트 Configure Serv-U to protect against brute force attacks https://support.sola[...] Solar Winds 2022-10-27
_[5] 웹사이트 Brute Force Attack: Definition and Examples https://www.kaspersk[...] 2020-11-08
_[6] 웹사이트 Password-cracking With High-Performance GPUs: Is There a Way to Prevent It? https://www.spicewor[...] Spiceworks 2023-12-24
_[7] 웹사이트 Eight RTX 4090s Can Break Passwords in Under an Hour https://www.tomshard[...] Future Publishing 2023-12-25
_[8] 웹사이트 November 2019 {{!}} TOP500 Supercomputer Sites https://www.top500.o[...] 2020-05-15
_[9] 웹사이트 What is a Pass-the-Hash Attack (PtH)? https://www.beyondtr[...] 2024-06-23
_[10] 웹사이트 Implementing MITRE D3FEND for ATT&CK Technique T1110: Brute Force https://d3security.c[...] 2024-06-19
_[11] 웹사이트 InfoSecPro.com - Computer, network, application and physical security consultants. http://www.infosecpr[...] 2018-05-08
_[12] 웹사이트 コンピュータウイルス・不正アクセスの届出状況　2008年9月分および第3四半期について https://www.ipa.go.j[...] 정보처리추진기구 2020-03-16
_[13] 문서 http://www.lockdown.[...]
_[14] 뉴스 人の造りしもの――“パスワード”の破られ方と守り方 (2/4)：セキュリティ対策の「ある視点」（9） https://www.atmarkit[...] 아이티미디어 2020-03-16
_[15] 뉴스 Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 https://gigazine.net[...] 주식회사OSA 2020-03-16
_[16] 뉴스 危なすぎる数字だけのパスワード、JALとANAがユーザー認証を強化 https://xtech.nikkei[...] 日経BP 2020-03-16
_[17] 논문 Experimental realization of Shor's quantum factoring algorithm using nuclear magnetic resonance
_[18] 논문 Quantum Cryptography: Public key distribution and coin tossing
_[19] 서적 The physics of quantum information :quantum cryptography, quantum teleportation, quantum computation

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com