비밀번호 스프레이란 무엇인가요?

비밀번호 스프레이 공격은 여러 다른 계정에 대해 여러 일반 비밀번호를 시도하는 것입니다. 예를 들어, 공격자는 조직 내의 모든 알려진 계정에 대해 ‘비밀번호’, ‘123456’ 및 유사한 일반 비밀번호를 시도할 수 있습니다. 일반적인 대상에는 원격 액세스 도구(VPN, RDP 등), 기업 이메일(M365, Google Workspace) 및 기타 공개적으로 접근 가능한 로그인 포털이 포함됩니다.

이 전술은 계정을 잠그기 전에 많은 수의 로그인 실패 시도를 찾는 방어를 피하도록 설계되었습니다. 성공할 경우, 공격자는 무단 액세스를 활용하여 민감한 데이터에 접근하거나 악성 코드를 심거나 조직의 시스템에서 입지를 확장할 수 있습니다.

주요 하이라이트

• 비밀번호 스프레이는 많은 사용자 이름에 대해 몇 가지 가능성 있는 비밀번호를 시도합니다.
• 이 전술은 잠금을 피하고 간단한 계정별 탐지를 회피하도록 설계되었습니다.
• 일반적인 대상에는 Active Directory, 클라우드 아이덴티티 플랫폼, Microsoft 365, VPN 및 기타 원격 액세스 서비스가 포함됩니다.
• 많은 계정에서 반복적인 저볼륨 인증 실패는 핵심 탐지 신호입니다.
• 강력한 비밀번호 정책, MFA 및 중앙 집중식 인증 모니터링은 노출을 줄일 수 있지만, 단일 제어로 위험을 제거할 수는 없습니다.

비밀번호 스프레이는 어떻게 작동하나요?

비밀번호 스프레이는 공격자가 알려진 사용자 이름 목록을 따라 내려가며 각 사용자 이름에 대해 일반 비밀번호 목록을 시도하는 것입니다. 종종, 그들은 특정 계정에 대해 짧은 시간 내에 여러 번 로그인 실패를 피하기 위해 모든 계정에서 한 번에 하나의 비밀번호를 시도합니다. 이 유형의 공격은 일반적으로 재사용되는 비밀번호의 사용이 널리 퍼져 있기 때문에 작동합니다.

공격자는 사용자 이름과 계정을 수집합니다.

비밀번호 스프레이 공격은 많은 기업들이 이름 규칙을 표준화하고 있다는 사실을 이용합니다. 예를 들어, 이름의 첫 글자와 성을 조합하는 방식입니다. 공격자는 일반적인 규칙을 추측하거나 단일 알려진 이메일 주소를 사용하여 사용자 이름을 추론할 수 있습니다.

직원 이름 목록은 공개적으로 이용 가능한 출처에서 수집할 수 있습니다. 예를 들어, 회사 웹사이트, LinkedIn 프로필 및 기타 페이지는 이 유형의 공격에 충분한 직원의 부분 목록을 제공할 수 있습니다.

공격자들은 일반 비밀번호를 시도합니다.

비밀번호 관리자를 사용하지 않는 한, 직원들은 자신의 비밀번호를 기억할 수 있어야 하며, 약하고 일반적인 비밀번호는 기억하기가 더 쉽습니다. 일반적인 예로는 계절 비밀번호(예: Spring26), 조직 테마 비밀번호 및 유사한 선택이 포함됩니다.

이러한 유형의 공격은 사람들이 약하고 예측 가능한 비밀번호를 선택할 확률을 이용합니다. 조직이 강력한 비밀번호 정책을 시행하고 강제하지 않으면, 계정당 몇 번의 추측만으로도 접근할 수 있는 경우가 많습니다.

비밀번호 스프레이가 무차별 대입 공격 및 자격 증명 채우기와 어떻게 다른가요?

무차별 대입 공격에는 비밀번호 스프레이 및 자격 증명 채우기를 포함한 몇 가지 다른 기술이 포함됩니다. 비밀번호 스프레이는 특정 계정에 대해 많은 다양한 비밀번호를 사용하는 대신 여러 사용자 이름에 대해 몇 개의 비밀번호를 사용하는 전통적인 무차별 대입 공격과 다릅니다.

자격 증명 채우기는 유출된 비밀번호를 사용하여 여러 계정에서 재사용된 비밀번호를 찾습니다. 비밀번호 스프레이는 약한 비밀번호를 테스트하며, 기업 계정에 대한 일반 비밀번호 사용 여부를 확인합니다.

비밀번호 스프레이를 잡기 어렵게 만드는 요소는 무엇인가요?

전통적인 무차별 대입 공격 및 자격 증명 채우기 공격은 특정 계정을 해킹하려고 시도하며, 해당 계정에 대해 많은 수의 로그인 실패 시도를 생성합니다. 대조적으로, 비밀번호 스프레이는 목표로 하는 각 계정에 대해 몇 번의 로그인 실패 시도만을 발생시킵니다.

이로 인해 비밀번호 스프레이는 다른 공격보다 탐지하기 더 어렵습니다. 몇 번의 로그인 실패는 사용자가 비밀번호를 잘못 입력한 것으로 귀속될 수 있으며, 특히 시간이 지남에 따라 분산되어 있고 조직이 단일 계정을 고립하여 살펴보는 경우에는 더욱 그렇습니다.

비밀번호 스프레이의 일반적인 대상

비밀번호 스프레이 공격은 대규모 사용자에게 서비스를 제공하는 공개 접근 로그인 포털을 일반적으로 목표로 합니다. 일반적인 예로는 다음이 포함됩니다:

• 원격 액세스 도구(VPN, RDP 등)
• 신원 제공자 / SSO
• 액티브 디렉토리 환경

이 공격은 초기 접근을 위해 사용되므로 공격자는 공개적으로 접근 가능한 로그인 포털이 필요합니다. 대규모 사용자 집단은 공격자가 각 대상에 대해 몇 개의 비밀번호만 시도하기 때문에 성공 확률을 높입니다.

액티브 디렉토리 환경

많은 조직이 신원 관리를 위해 액티브 디렉토리(AD)를 사용하므로 유효한 기업 계정이 많이 포함되어 있습니다. 공격자는 AD에 연결된 서비스와 Kerberos 기반 워크플로를 비밀번호 스프레이 공격의 대상으로 사용할 수 있습니다.

AD가 신원 관리를 중앙 집중화하므로 단일 침해된 비밀번호가 기업 시스템 및 애플리케이션에 대한 광범위한 접근을 제공합니다. 그곳에서 공격자는 원격으로 시스템에 접근하고 권한을 상승시키거나 네트워크를 통해 측면으로 이동하려고 시도할 수 있습니다.

VPN 및 원격 접근 포털

VPN 및 기타 원격 접근 포털은 직원이 기업 환경에 원격으로 접근할 수 있도록 설계되었습니다. 공격자가 직원의 비밀번호를 추측할 수 있다면, 그들은 동일한 수준의 접근 권한을 누리게 됩니다.

비밀번호 스프레이 공격이 실패하더라도 상당한 비즈니스 영향을 미칠 수 있습니다. 이들은 인증 로그에 잡음을 추가하고, 사용자 잠금을 유발하며, 보안 팀에 추가적인 부담을 줍니다.

비밀번호 스프레이 탐지에 도움이 되는 신호

비밀번호 스프레이는 기업 계정의 실패한 로그인 시도를 기록하는 데이터 소스를 사용하여 탐지할 수 있습니다. 여기에는 기업 신원 및 접근 관리(IAM) 시스템과 VPN 및 RDP와 같은 원격 접근 솔루션의 로그 및 경고가 포함될 수 있습니다.

공격을 식별하려면 데이터를 상관관계하고 여러 사용자 계정에서 패턴을 식별해야 합니다. 특정 계정은 몇 개의 실패한 로그인 시도만 표시할 수 있습니다. 경고 신호는 시간적으로 클러스터링된 서로 다른 계정의 여러 실패한 로그인 시도를 포함하며, 이는 분산되고 비정상적인 출처에서 발생할 수 있습니다.

의심스러운 인증 활동

비밀번호 스프레이 공격은 성공할 때마다 많은 수의 실패한 로그인 시도를 생성합니다. 이러한 시도는 유사한 타이밍, 소스 인프라 및 사용자 에이전트 패턴을 가질 가능성이 높습니다.

계정당 다수의 실패

이러한 유형의 공격에서는 특정 계정에서 발생하는 대량의 실패보다 계정당 몇 번의 실패가 더 의심스럽습니다. 이는 공격자가 특정 비밀번호를 무작위로 시도하기보다는 계정당 몇 개의 비밀번호만 시도하기 때문입니다. 보안 팀은 여러 계정 간의 데이터를 상관관계 분석하여 어떤 계정에서도 임계값을 초과하지 않을 수 있는 공격을 식별해야 합니다.

비밀번호 스프레이 위험을 줄이는 보안 통제

비밀번호 스프레이 공격은 인증을 위해 약한 비밀번호에만 의존하는 사용자 계정을 이용합니다. 조직이 이 위험을 완화할 수 있는 방법은 다음과 같습니다:

• 강력한 비밀번호 정책 및 시행
• 다중 인증(MFA)
• 노출된 인증 서비스의 강화
• 비정상적인 로그인 활동 모니터링 및 경고

강력한 비밀번호 정책 

비밀번호 스프레이 공격자는 약하고 일반적인 비밀번호를 가진 계정을 식별하고 접근하려고 합니다. 강력한 비밀번호 정책은 직원들이 쉽게 추측할 수 있는 비밀번호에서 벗어나도록 하여 이 공격의 가능성을 줄입니다. 그러나 이러한 정책은 시행될 때만 유용하며, 단순히 비밀번호 지침이 담긴 문서에 그쳐서는 안 됩니다.

다중 인증(MFA):

비밀번호 스프레이 공격자는 손상된 비밀번호가 계정에 접근하는 데 충분하다는 사실에 의존합니다. MFA는 공격자가 각 시도 및 이후 계정 사용을 위해 유효한 MFA 코드를 훔쳐야 하므로 이 공격의 난이도를 높입니다. MFA가 위협을 제거하지는 않지만, 공격을 수행하기 훨씬 더 어렵게 만듭니다.

안전한 구성 및 모니터링 

공개 인증 서비스는 누구나 이 서비스에서 비밀번호를 테스트할 수 있기 때문에 비밀번호 스프레이의 일반적인 대상입니다. 안전한 구성 및 모니터링을 구현하면 이 공격 기법의 특징인 반복된 로그인 실패를 플래그 지정하거나 차단하여 위협을 줄이는 데 도움이 됩니다.

비밀번호 스프레이 공격이 여전히 효과적인 이유

비밀번호 스프레이 공격은 사람들이 계정에 로그인하는 방법을 기억하기 위해 약하거나 예측 가능한 비밀번호를 일반적으로 선택하기 때문에 여전히 효과적입니다. 기업에는 예측 가능한 사용자 이름을 가진 많은 계정이 있기 때문에 공격자는 적어도 하나의 계정이 약한 비밀번호로 보호될 가능성이 있다는 사실을 이용할 수 있습니다. 공개 인증 포털은 공격자에게 잠재적인 비밀번호를 테스트할 기회를 제공하며, 불완전한 가시성은 조직이 너무 늦기 전에 이러한 분산 공격을 식별할 위험을 줄입니다.

비밀번호 스프레이 공격이 신원 보안에 중요한 이유

비밀번호 스프레이 공격은 반복된 로그인 실패를 기반으로 비밀번호 추측 공격을 식별하는 임계값 및 기타 방법을 피하도록 설계된 무차별 대입 공격입니다. 약한 비밀번호가 일반적이고 기업 계정을 보호하는 데 신뢰받는 한, 이 공격은 계속해서 효과를 발휘할 것입니다.

조직은 인증에 대한 폭넓은 가시성과 일반적인 공격 벡터 및 패턴에 대한 이해가 필요합니다. 또한, 기업은 MFA 및 강력한 비밀번호 정책 또는 비밀번호 없는 로그인을 포함한 강력한 인증 보안이 필요합니다.

자주 묻는 질문

비밀번호 스프레이 공격을 간단히 설명하면 무엇인가요?

비밀번호 스프레이 공격은 여러 다른 사용자 계정에 대해 몇 가지 일반적인 비밀번호를 시도합니다. 이 공격은 적어도 하나의 계정이 추측 가능한 비밀번호를 가질 확률을 극대화하고 비밀번호 추측 공격을 탐지하는 임계값 기반 방법을 피합니다.

비밀번호 스프레이 공격은 무차별 대입 공격의 일종인가요?

네, 비밀번호 스프레이 공격은 특정한 유형의 무차별 대입 비밀번호 추측 공격입니다. 그러나 특정 계정에 대해 많은 비밀번호를 시도하는 대신, 여러 다른 계정에 대해 몇 가지 다른 비밀번호를 시도합니다.

비밀번호 스프레이 공격은 자격 증명 스터핑과 어떻게 다른가요?

비밀번호 스프레이 공격은 약한 비밀번호 사용을 목표로 하여 여러 다른 계정에 대해 몇 가지 일반적인 비밀번호를 시도합니다. 자격 증명 스터핑은 비밀번호 유출로부터 사용자 이름/비밀번호 쌍을 사용하여 자격 증명 재사용을 이용합니다.

MFA가 비밀번호 스프레이 공격을 막을 수 있나요?

MFA는 공격자가 비밀번호를 추측하고 손상된 계정에 접근하기 위해 추가 인증 요소를 훔치도록 강제하기 때문에 비밀번호 스프레이 공격의 위험을 줄입니다. 그러나 많은 일반적인 MFA 형태가 무력화될 수 있기 때문에 완벽하지 않으며, 인증 보안을 위해 모니터링과 대응이 여전히 중요합니다.

팀은 비밀번호 스프레이 공격을 위해 무엇을 모니터링해야 합니까?

비밀번호 스프레이 탐지는 여러 계정에서 비정상적인 로그인 활동을 모니터링하고 상관관계를 분석해야 합니다. 이 공격은 여러 계정에서 몇 번의 실패한 시도로 전체 실패한 로그인 수를 급증시킵니다.