보안 / 웹서비스

웹 사이트 로그인 페이지 방문 94%, 자동 해킹 툴

Antone Gonsalves | CSO 2013.11.11
웹사이트 로그인 페이지의 방문자가 대부분 사람이라고 생각할지 몰라도 실제로는 대다수가 취약한 비밀번호를 찾기 위해 범죄에 사용되는 자동툴이다.

인캡슐라는 최근 90일동안 1,000개의 클라이언트 웹 사이트에 접속 시도건을 모니터링한 결과, 94%가 의심스러운 자동 툴이었음을 발견했다. 나머지 6%만이 사람에 의한 시도였거나 웹 사이트 보안 개발업체들이 베네벌런트 봇(benevolent bots)이라 부르는 적법한 크롤과 RSS 웹 리더기였다.

로그인 사이트의 16개 방문 가운데 평균 15개가 사이트에 침입하기 위해 시도한 셈이다. 인캡슐라는 총 140만 비인증 접속 시도와 대략 2만 번의 인증된 로그인을 기록했다고 밝혔다.

이번 연구를 통해 알려진 사실은 분명 인캡슐라 고객에 편향된 것이지만, 수많은 웹사이트 경험이 어떤 것인지 나타내준다.

인캡슐라 공동 창립자이자 마케팅 & 비즈니스 개발 부사장 마크 가판은 "우리는 이런 사실은 좋은 지표이며, 웹사이트에서 어떤 일이 일어나고 있는지 잘 알려준다"고 말했다.

의심스러운 로그인 스캐너는 일반적으로 애플리케이션 취약점을 찾고, 무작위 공격(brute-force attack)이라 불리는 일반적인 비밀번호를 다수 사용, 접속을 시도한다.

지난 8월 아보 네트워크는 이와 같은 공격을 통해 줌라(Joomla), 워드프레스(WordPress), 또는 데이터라이프 엔진(Datalife Engine) 등 블로그 및 콘텐츠 관리 시스템을 사용하는 6,000개의 사이트를 침입했던 공격을 확인한 바 있다.

포트 디스코(Fort Disco)라고 명명된 이 공격은 5월말 2만 5,000대 이상의 좀비 PC를 실행하는 5개의 C&C 사이트에서 시작했다.

해킹하기 위해 사용된 비밀번호는 다음과 같이 일반인들이 자주 사용하는 톱 10 비밀번호다.

'admin', '123456', '123123', '12345', 'pass', '123456789', '1234 150', 'abc123' and '123321'

강력한 비밀번호를 강제하는 것은 공격에 대항한 방어 전선의 최전방이라는 점은 전문가들도 동의한다.

루멘션 포렌직 분석가 폴 헨리는 "예를 들어 30일마다 12글자 이상의 비밀번호를 변경하는 것과 15분 내에 4번만 로그인 시도를 허용하는 것 등이 무작위 공격을 불가능하게 만든다"고 말했다.

헨리는 한 사이트는 여러 번 로그인을 시도하는 방문객에 대해 간단하게 계정을 닫을 수 있지만, 이는 헬프 데스크에 부담을 지울 수 있다. 이 때문에 이는 서비스 거부 공격에 악용될 수 있다고.

휴대전화로 비밀번호나 무작위 번호를 보내는 2요소 인증 사용은 또다른 옵션이다. 퀄리스 CTO 울프강 캔덱은 "나는 2요소 인증에 대해 아주 선호한다. 이 방법으로 문제를 아주 잘 풀수 있다"고 말했다.

그러나 이런 메커니즘은 배포하기가 어려울 수 있으며 사이트 방문자들을 귀찮게 한다. 그래서 다른 옵션을 제시하는데 이것이 바로 CAPTCHA(Completely Automated Public Test to tell Computers and Humans Apart)를 사용하는 것이다.

이 방법은 컴퓨터 사용자가 사람인지를 판단하기 위해 단어를 시각적으로 변형시킨 복잡한 패턴을 사용하는 일종의 테스트로, 시도가 반복된다면 IP 주소에서 감지된다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.