티스토리 뷰

음.. 제가 보안뉴스에 기고한 글인데 보안뉴스에서 퍼왔다고 혹시 저작권 문제될까요 '_'?

잘 모르겠네요; 아시는분 계시면 알려주세요 ~



[특집] 취약한 ID와 PASSWORD의 보안 관리 방법

내가 접속하기 쉬운 계정은 해커도 접속하기 쉬운 계정

 

보안의 시작은 웹 애플리케이션 자체에 있는 것이 아니라 웹 애플리케이션을 관리하는 관리자에게 달려있다. 귀찮고 편하기 위해 쉬운 패스워드와 쉬운 방법으로 설계를 한다면 그만큼 공격도 쉽게 들어오게 된다. 조금 불편하더라도 최상의 보안을 유지하기 위해 주기적으로 변경하고 자신만이 가지고 있는 패스워드를 통해 보안을 높여야 한다. 웹으로 모든 것들이 집중화 되고 있는 이때 웹을 통한 보안이 모든 보안의 시작임을 잊지 말아야 한다.


취약한 사이트들을 보면 약 절반이상이 정보수집단계 또는 스캐너를 통한 스캐닝 단계에서 별 어려움 없이 해킹을 당한다. 특이한 점은 대부분 이러한 사이트들의 공통점은 관리자 아이디나 패스워드가 누구나 알 수 있거나 단순한 패턴의 조합을 사용하고 있다는 점이다. 공격기법 중에 brute-force attack(무차별 대입공격)과 forceful browsing(강제브라우징) 이라는 공격기법이 있다. 두 개의 공격에는 핵심적으로 공통되는 부분이 있는데 바로 ‘추측’이라는 부분이다.

추측을 통한 공격이라는 것은 ‘저사람은 마치 ○○를 쓸거 같다’, ‘나라면 ○○를 쓰겠다’라는 것과 같이 유추에 의한 대입을 통해 성공할 때까지 발생될 수 있는 모든 조합된 경우의 수를 대입해서 원하는 결과를 얻는 것이다. 대부분은 Login 할 때 많이 쓰이고 있다.

한때는 성인사이트에서 가장 많이 쓰이는 비밀번호 1순위로 ‘aaa’ ‘asdzxc’ ‘1234’ 등이 뽑혔다는 이야기도 있었다. 최대한 빨리 로그인할 수 있게 설정해놓은 이러한 패스워드는 성인물을 빨리 보고 싶은 유저들의 마음을 대변하기에 충분하지 않을까라는 생각이 든다.

심리적으로 조금은 일맥상통할 수 있는 부분이기도 하지만 해커들은 대부분 상대방의 입장에서 생각을 한다. 관리자 또는 개발자가 ‘관리자 계정 ID는 admin이다’라고 생각하는 것은 해커가 ‘관리자 계정 ID는 admin 이다’라고 생각하는 것과 같다.

한때 공공기관이나 대학 등의 가장 많은 관리자 계정을 차지했던 것 중에 하나는 ‘admin/1111’ 이었다.

웹으로 집중화되어 있는 현대 시대에 모든 것들이 웹에 정보가 담겨있기 때문에 끊임없이 밀려들어오는 민원을 처리하기 위해서는 신속히 관리자 모드로 접속할 수 있어야 하며 부서 안에서 공유되고 있어야 하기 때문에 언제나 단순한 패턴을 선호한다. 나이가 들수록 더욱더 단순한 패스워드를 선호하게 되는 점도 간과할 수 없다. 이러한 부분들이 해커들에게는 참으로 달콤한 사탕과 같은 것들이다.

 

관리자의 의식이 중요

보안을 위해 장비를 도입하고 보안 코딩을 위해 홈페이지를 리뉴얼하더라도 관리자의 의식이 결여되어있다면 언제나 같은 공격을 당할 수밖에 없다. 아직까지 지난 80년대 초에 성행하기 시작한 brute-forcing 공격이 현재까지 먹히고 있다는 것은 심히 놀라운 일이 아닐 수 없다. 그렇다면 ID와 패스워드는 어떻게 설정해야 하는가?

brute-forcing 공격이 가능한 스캐너들의 패턴 소스를 열어보면 ID와 PASSWORD가 입력되는 곳에는 사전파일이 연결되어 있다. 사전대입을 하여 정상 프로토콜이 나올 때까지 계속해서 접속을 시도하는 것이다.

 

 

일반적으로는 이러한 단순한 패턴이 수십~수만개 탑재가 되어있어서 하나하나 대입하지 않고서도 단시간 내에 결과물을 얻을 수 있다. 패스워드 크래킹 툴로 유명한 ‘L0phtcrack’ 이라는 툴이 지난 5월 버전 업그레이드되어 공개되었다. 과거에 모든 패스워드의 약 90% 정도를 48시간 만에 해독한 것으로 알려져 유명해진 툴이다. 이러한 툴들은 단순한 패턴과 단순한 조합이 되어있는 패턴을 분석할 경우 시간은 더 단축된다.

관리자 ID로서 가장 많이 사용되는 것들은 아래와 같다.


admin   administrator   admin001

admin01   rhksflwk(관리자)   상호명_admin

manager  master   webmaster


일반적으로 사용되는 경우지만 보안성을 높이기 위해서는 일반 아이디로 가입하여 관리자 권한을 주는 것이 상대적으로 보안을 높일 수 있는 방법이다. 패스워드의 경우 다음과 같은 경우는 공격당하기 가장 쉬운 예제이다.

최근 한국정보보호진흥원(KISA)이 발표한 인터넷 이용자를 위한 ‘패스워드 선택 및 이용 가이드’를 참조하면 더욱더 상세하게 나와 있다. 이를 참고하기 바란다. 그렇다면 안전한 패스워드를 설정하려면 어떻게 하여야 할까? 안전한 패스워드 설정의 설정은 끝이 없지만 일반적으로 권고하는 방안은 아래 ‘안전한 패스워드 설정 방법’과  같다.

그림 2의 사이트에서 best를 만족하기 위해서는 긴암호+숫자, 문자, 특수문자 등이 조합이 되어야 한다.

 

로그인 창 보안은 문단속과 같다

보안의 시작은 웹 애플리케이션 자체에 있는 것이 아니라 웹 애플리케이션을 관리하는 관리자에게 달려있다. 귀찮고 편하기 위해 쉬운 패스워드와 쉬운 방법으로 설계를 한다면 그만큼 공격도 쉽게 들어오게 된다.

조금 불편하더라도 최상의 보안을 유지하기 위해 주기적으로 변경하고 자신만이 가지고 있는 패스워드를 통해 보안을 높여야 한다. 웹으로 모든 것들이 집중화 되고 있는 이때 웹을 통한 보안이 모든 보안의 시작임을 잊지 말아야 한다.

문단속을 잘해야 도둑을 막을 수 있는 것처럼 웹의 문이 될 수 있는 login 창부터 보안을 다져야 하지 않을까.

 

<글 : 서용호 모니터랩 위협분석팀 팀장(yhseo@monitorapp.com)>


[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



원문링크
http://www.boannews.com/media/view.asp?idx=17077&kind=1
댓글