암호 스프레이 공격(Password Spraying Attack)은 사이버 공격 기법 중 하나입니다.
많은 사용자 계정에 대해 흔히 사용되는 몇 개의 비밀번호를 시도하는 방식입니다.
기존의 무차별 대입 공격(Brute Force Attack)과 달리, 한 계정에 대해 여러 번 시도하지 않고 다양한 계정에 걸쳐 몇 개의 비밀번호만 입력함으로써 계정 잠금을 피하는 전략입니다.
암호 스프레이 공격의 특징
- 계정 잠금 회피
- 많은 시스템이 여러 번 로그인 실패 시 계정을 잠그는 기능을 가지고 있습니다.
- 암호 스프레이 공격은 여러 계정에 대해 적은 수의 비밀번호를 입력하기 때문에 계정 잠금 방지를 우회할 수 있습니다.
- 사전(딕셔너리) 기반 공격
- "123456", "password", "qwerty", "1234qwer" 등 흔히 사용되는 비밀번호를 이용합니다.
- 기업 환경에서는 "Spring2025!", "Company123!" 등 조직 내에서 사용될 가능성이 높은 패턴을 활용할 수도 있습니다.
- 대량 계정 대상
- 기업 이메일 도메인 또는 유출된 계정 목록을 이용하여 많은 사용자 계정을 대상으로 시도합니다.
- 조직 내부 계정, 클라우드 서비스 계정, VPN, 웹 애플리케이션 로그인 등을 공격 대상으로 삼을 수 있습니다.
공격 과정
- 목표 대상 선정
- 기업 이메일 도메인 수집 (예: @example.com)
- 유출된 계정 정보를 활용
- 공격 준비
- 흔히 사용되는 비밀번호 목록 생성
- 로그인 페이지, 인증 시스템 분석
- 암호 스프레이 실행
- 모든 계정에 대해 하나의 비밀번호를 입력하고 일정 시간 대기
- 이후 두 번째 비밀번호로 반복 실행
- 성공한 계정 활용
- 획득한 계정으로 내부 네트워크 침투
- 추가 공격 수행 (예: 피싱, 랜섬웨어 배포)
대응 및 방어 방법
- 강력한 비밀번호 정책 적용
- 최소 12~16자 이상, 대문자/소문자/숫자/특수문자 포함
- 계절, 연도, 회사명 등 예측 가능한 패턴 사용 금지
- 다중 인증(MFA) 사용
- MFA(예: OTP, 하드웨어 키)를 적용하면 공격 성공 확률을 크게 줄일 수 있음
- 비정상 로그인 탐지
- 동일한 IP에서 다수의 계정 로그인 시도 탐지
- 특정 시간 동안 실패 횟수가 많은 경우 경고
- 유출된 비밀번호 확인 및 변경
- "Have I Been Pwned" 같은 서비스로 유출된 계정 확인
- 주기적인 비밀번호 변경 정책 유지
- 액세스 제한 및 로그인 보호
- 기업 VPN, 클라우드 서비스, 이메일 등의 접근을 제한
- 로그인 실패 횟수 제한을 IP 기반이 아닌 계정 전체 기준으로 조정
암호 스프레이 공격은 기존의 무차별 대입 공격보다 탐지가 어렵고 효과적인 공격 기법이므로,
강력한 비밀번호 정책과 다중 인증 등의 보안 대책을 마련하는 것이 중요합니다.