로그인 시도 횟수 제한하는 방법으로는 막기 어려운 새로운 공격 기법
두 명의 연구원이 제안...방어의 시작은 트래픽 내 악성과 정상 비율 파악부터

[보안뉴스 문가용 기자] 자동화된 온라인 비밀번호 추측 공격이 증가하고 있다. 다양한 사용자 이름과 비밀번호 조합을 수도 없이 대입해가며 맞는 것을 찾아내는 방식의 공격법인데, 현재 이 단순하고 무식한 공격법이 웹 서비스 제공 사업자들에게 가장 큰 위협이 되고 있다.


이에 두 명의 보안 전문가들이 새로운 대처법을 제안했다. 자세한 내용은 다음 주 샌디에이고에서 열리는 NDSS 심포지움에서 발표할 예정이지만, 자동화 기술을 기반으로 한 대규모 무작위 비밀번호 대입 공격에 대한 색다른 방어법이 등장할 것으로 벌써부터 기대를 모으고 있다.

먼저 여기서 말하는 ‘비밀번호 추측 공격’은 기존의 브루트포스 공격과는 조금 다르다. 브루트포스 공격이 한두 계정에 여러 개의 비밀번호를 대입하는 거라면, 비밀번호 추측 공격은 대량의 계정들에 자동화된 방식으로 비밀번호를 대입해보는 것을 말한다. 브루트포스 공격이 깊이 파고드는 공격이라면, 비밀번호 추측 공격은 넓은 범위의 공격이다. 위 연구원들에 의하면 이런 식의 ‘범위 공격’은 대부분 대처하기가 더 까다롭다고 한다.

온라인 비밀번호를 갈취하려는 시도에 대해 대부분은 ‘반복되는 시도 차단’이라는 접근법을 사용한다. 즉 비밀번호를 입력할 수 있는 횟수를 제한하는 것이다. 이는 ‘깊이 파고드는’ 공격 방식에 대한 대처법으로 효과적이다. 그러나 대량의 계정에 비밀번호를 대입하는 공격에는 그다지 효과적이지 않다. “수천만 개의 계정을 발급하는 서비스라면, ‘넓이 위주의 공격’을 하는 자들이 횟수 차단 경보를 전혀 울리지 않고 비밀번호 대입 공격을 할 수 있습니다.”

이 두 연구원 중 하나인 코막 헐리(Cormac Herley)는 “이런 유형의 공격을 받았을 때 조직들이 겪는 어려움이란, 정상 사용자가 인증을 시도하는 트래픽과 악성 행위자의 공격용 트래픽을 구분하는 것”이라고 핵심을 짚는다. “공격자들도 애초부터 이 부분을 노리는 겁니다. 수많은 정상 사용자들 속에 섞여 들어가 자신들을 감추는 것이죠.”

정상 인증 트래픽이나 공격 트래픽이나 비슷한 성분으로 구성되어 있다. 사용자 이름, 비밀번호, IP 주소나 브라우저 정보 등이 바로 그것이다. 그러니 성분만으로는 트래픽의 출처가 정상적인 사용자인지 공격자인지 구분하기가 어렵다. “공격당하는 계정이 많으면 많을수록, 즉 범위가 넓어지면 넓어질수록 이 구분은 더 어려워집니다. MS와 같은 기업의 경우 하루에도 수백만 건의 크리덴셜 관련 공격 트래픽이 탐지됩니다. 구분을 한다는 게 불가능한 목표처럼 보일 정도죠.”

그렇다면 연구원들은 어떤 식으로 문제에 접근하려는 것일까? “먼저는 조직 내 네트워크의 트래픽을 분석해 정상 트래픽과 공격 트래픽의 비율을 파악해야 합니다. 즉 백분율로 정상 트래픽이 몇 %인지, 또 악성 트래픽이 몇 %인지를 아는 것부터가 시작이라는 겁니다. 어려울 것 같죠? 근데 생각보다 쉬운 작업입니다.”

그는 다음과 같이 설명한다. “공격자들이나 정상 사용자들이나 모두 로그인에 실패할 수 있어요. 그런데 정상 사용자의 로그인 실패 확률은 5% 정도입니다. 공격자는 어떨까요? 99%에요.”

헐리는 연구를 통해 “조직들이 이 사실을 활용할 수 있다”는 걸 알아냈다고 한다. “정상 사용자의 실패 확률은 5%고, 공격자의 실패 확률이 99%라는 걸 염두에 두면, 정상 로그인 트래픽과 악성 로그인 트래픽의 비율을 어느 정도 가늠할 수 있습니다. 그 다음 이 비율을 가지고 대부분 공격 트래픽으로 구성된 부분과, 대부분 정상 트래픽으로 구성된 부분을 식별하는 작업을 할 수 있습니다. 그런 후에는 정상 트래픽이 어떤 형태와 특성을 갖추고 있는지 알 수 있고, 이를 기준으로 패턴에서 벗어나는 트래픽을 차단할 수 있습니다.”

헐리는 “비밀번호를 훔치려는 공격 시도가 요즘 큰 위협이 되고 있는 건, 사실 비밀번호 보호 분야에서 지난 몇 년 동안 획기적인 발전이 없었기 때문”이라고 지적한다. “비밀번호를 사용자들이 어렵게 설정하기만을 강조하거나, 비밀번호를 없애야 한다고 주장하기만 했지, 비밀번호를 안전하게 보호하는 기술에 대해서는 관심들이 부족했죠. 그래서 이런 위협에 대처하지 못하고 있는 겁니다.”

그래서 헐리는 “비밀번호 보호라는 부분에 있어 근본적이고 체계적인 접근이 필요하다”고 결론을 내린다. “그래서 조직들이 따라하거나 구현하기 쉬운 방법들을 이번 논문을 통해 제시했습니다.”

대량의 비밀번호 추측 공격에 대한 새로운 방어법은 샌디에이고에 참석할 수 없는 사람들을 위해 행사 전부터 공개되기도 했다. 논문에 관심이 있다면 이 주소(https://cormac.herley.org/docs/distinguishBotsFromLegitNDSS.pdf)에서 다운로드 받을 수 있다.

3줄 요약
1. 한두 계정에 수많은 비밀번호를 대입하는 대신, 수많은 계정에 공격 퍼트리는 방식이 유행하고 있음.
2. 이는 기존의 ‘횟수 제한’ 방어법으로는 막기 어려움. 그래서 두 연구원이 새로운 방어 기법을 제안함.
3. 방어는 조직 내 트래픽 분석하여 악성과 정상의 비율 파악하는 것부터 시작. 이를 통해 정상 트래픽 패턴 파악하고 기준 삼아 악성 트래픽 차단하는 것.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>