비밀번호는 결코 절대 안전한 방어선이 아니다
많은 사람들이 비밀번호를 계정 보안의 궁극적인 방어선으로 여기며, 비밀번호가 충분히 길고 복잡하기만 하면 계정은 안전하다고 생각합니다. 그러나 실제로 비밀번호가 공격당하는 경로는 "추측"뿐만 아니라 여러 가지 방법이 있습니다. 해커들이 비밀번호를 공격하는 방법은 대략 세 가지로 나눌 수 있습니다: 무자비한 공격, 사전 공격, 그리고 사회 공학입니다. 이 세 가지 방법의 공격 로직은 완전히 다르며, 발생하는 위험도 또한 다릅니다. 이들 간의 차이를 이해해야만 자신의 계정이 어떤 부분에서 가장 쉽게 공격당할 수 있는지를 알 수 있습니다.
무자비한 공격: 시간과 연산력을 맞붙이다
무자비한 공격은 가장 직관적인 공격 방식으로, 말 그대로 가능한 모든 문자 조합을 완전탐색하여 하나씩 시도해 보다가 정답인 비밀번호를 찾을 때까지 진행합니다. 이 방법은 비효율적처럼 들리지만, 연산 능력이 향상되고 해커들이 여러 대의 컴퓨터를 이용해 동시에 계산할 수 있기 때문에, 짧은 비밀번호는 무자비한 공격 앞에서 상당히 취약합니다. 숫자로만 이루어진 6자리 비밀번호는 이론적으로 매우 짧은 시간 안에 완전 탐색될 수 있습니다. 비밀번호의 길이와 문자 종류는 무자비한 공격의 난이도에 가장 큰 영향을 미치는 요소입니다. 문자를 하나 더 추가하거나 문자 유형을 하나 더 추가(예: 대문자, 소문자, 숫자, 기호 혼합)하면 시도해야 할 조합의 수는 기하급수적으로 증가합니다. 그래서 정보 보안 전문가들은 대체로 "비밀번호 복잡성보다 길이가 더 중요하다"고 강조합니다.
사전 공격: 인간의 명명 습관 이용하기
무자비한 공격이 무작위적으로 모든 조합을 시도하는 반면, 사전 공격은 더욱 타겟팅된 방법입니다. 해커는 방대한 수의 일반 비밀번호 목록을 준비하며, 이 목록에는 실제 유출 사건에서 수집된 비밀번호, 일반적인 단어 조합, 사람들이 자주 사용하는 이름, 생일, 기념일 등의 정보가 포함되어 있습니다. 그런 다음 이 목록을 하나씩 시도하여 로그인합니다.
이러한 공격 방식이 효과적인 이유는 대다수의 사람들이 비밀번호를 설정할 때 비슷한 명명 논리를 따르기 때문입니다. 예를 들어 "비밀번호 + 연도", "애완동물 이름 + 숫자"와 같은 조합은 개인화된 것처럼 보이지만, 사실은 이미 여러 종류의 공개 또는 비공식 딕셔너리 파일에 수록되어 있습니다. 만약 여러분의 비밀번호가 어떤 데이터 유출 사건에서 발견된 적이 있다면, 나중에 새 플랫폼에서 새로운 비밀번호를 사용하더라도, 만약 새 비밀번호가 여전히 비슷한 명명 습관을 따른다면 같은 방식으로 사전 공격에 노출될 수 있습니다.
사회 공학: 비밀번호 자체가 아닌 사람을 겨냥하다
전의 두 가지 순수 기술적 방법과 달리 사회 공학 공격의 목표는 비밀번호를 "추측"하는 것이 아니라, 사용자가 스스로 입 밖으로 말하게 하거나 허위 웹페이지에 직접 입력하게 만드는 것입니다. 일반적인 사회 공학 방법은 가짜 고객 서비스 전화로 "계정 이상"을 이유로 인증 코드를 요구하거나, 은행 또는 쇼핑 플랫폼인 척하는 피싱 링크를 보내는 것입니다. 이렇게하면 사용자는 비슷한 가짜 로그인 페이지에 자신의 비밀번호를 입력하게 됩니다. 이러한 공격은 비밀번호 강도의 문제를 완전히 우회하므로, 아무리 복잡한 비밀번호를 설정하더라도 상황적인 압박에 의해 긴장을 풀고 정보를 해커에게 넘기게 됩니다. 사회 공학이 위험한 이유는 신뢰, 긴장, 긴급성을 이용하기 때문이며, 이는 시스템이나 알고리즘의 취약점을 이용하는 것이 아니기 때문에 그런 방법은 기술적으로 예방하기 가장 어려운 방법 중 하나입니다.
세 가지 방법의 위험 정도 비교
단일 계정을 공격하는 데 필요한 비용과 성공률을 단순히 비교했을 때, 사회 공학은 보통 가장 위험한 방법으로 간주됩니다. 왜냐하면 비밀번호 강도에 의존하지 않고, 피해자가 일시적으로 방심하는 순간 발생할 수 있기 때문입니다. 더 강력한 비밀번호도 보호를 제공할 수 없습니다. 사전 공격은 대규모 공격에서 가장 효율적인 방법으로, 특히 많은 사용자가 여전히 간단하고 반복적인 비밀번호를 사용할 때 해커는 매우 낮은 비용으로 여러 계정을 동시에 테스트할 수 있어 상대적으로 높은 적중률을 자랑합니다. 무자비한 공격은 이론적으로 모든 비밀번호에 위협을 가할 수 있지만, 실제 사용에서는 비밀번호 길이가 충분히 길고 시스템 자체에 로그인 실패 잠금 메커니즘이 설정되어 있다면, 무자비한 공격에 소요되는 시간과 자원은 공격자가 피하게 만들 수 있어 다른 비용이 더 낮은 방법을 선택할 수 있습니다.
세 가지 공격 방법에 대한 대응 보호 조치 제안
- 충분한 길이의 비밀번호 설정(최소 12자리 이상 권장) 및 쉽게 추측할 수 있는 개인 정보 조합 사용 자제
- 각 계정에서 독립적이고 반복되지 않는 비밀번호를 사용하되, 비밀번호 관리 도구를 이용하여 복잡한 비밀번호를 기억하고 생성
- 중요한 계정에 대해 이중 인증 활성화, 비밀번호가 추측되거나 유출되더라도 추가 보호 장치 제공
- 전화, 문자 또는 이메일에서 인증 코드 또는 비밀번호 제공 요청에 대해 높은 경계 유지, 공식 고객 서비스는 전체 비밀번호를 요청하지 않음
- 정기적으로 자신의 계정이 알려진 데이터 유출 목록에 나타나는지 확인하고, 유출된 비밀번호를 즉시 변경
공격 방법을 인식하는 것이 보호 습관 형성의 첫걸음이다
무자비한 공격, 사전 공격 및 사회 공학의 차이를 이해하는 것은 사람들이 인터넷 사용에 대해 두려움을 느끼게 하려는 것이 아니라 일반 사용자에게 더 명확한 위험 인식을 심어주기 위함입니다. 비밀번호 보안은 항상 "어려운 비밀번호를 설정하는 것"만으로 해결되는 문제가 아니며, 비밀번호 강도, 계정 관리 습관, 그리고 사회 공학적인 상황에 처했을 때의 판단 능력을 동시에 고려해야만 합니다. 이 셋 중 어느 하나도 빠져서는 안 되며, 그래야 비밀번호가 공격당할 위험을 실제로 줄일 수 있습니다.