웹인증 Brute Force 공격 대응방안 및 사례

파견으로 실무를 많이 접하지 못하니 사례도 연구도 많이 뜸해져 가는거 같습니다.


ID/PW를 이용한 인증에서 가장 단순하면서도 무자비하고 흔한 공격 기법이 무차별 대입 기법인 Brute Force 공격인거 같습니다.

예전에는 단순 ID/PW사용 취약점과 함께 대응 방안으로 주로 암호 강도가 높은 패스워드 사용 강제화 및 사용을 권했습니다. 예를 들어 8자리 이상의 알파벳 대소문자, 숫자, 특수문자 중 3가지 이상의 조합을 사용하라고 많이 권고를 했었는데 요즘은 보안코드 이미지를 통해서 많이 방어를 하는 추세인거 같습니다. 개인적으로 생각해도 아주 좋은 방법 중의 하나인거 같습니다.

그렇다고 보안코드 이미지가 100% 안전하다고 생각해서는 안됩니다. 보안코드 이미지도 방어율이 있으며, 이 말은 문자인식 프로그램을 통해서 이미지 인식이 가능할 수 있다는 뜻입니다. 이러한 부분을 확실하게 인식하고 사용해야 할거 같습니다.

보안코드 이미지

스팸광고 게시물 방지 및 패스워드 무차별 대입공격 등을 방지하기 위한 보안 코드에는 여러 종류가 있습니다.

보통 보안코드 이미지는 무작위의 문자를 변형시켜 이미지로 출력한 후에, 해당 문자를 그대로 입력한 경우에 한하여 인증을 해주는 방식을 사용하게 됩니다.

위와 같은 방식은 사용자가 사람인지, 컴퓨터 프로그램인지 구분하기 위한 수단으로 사용됩니다.

위의 이미지는 방어율이 95%라고 합니다. 그 말은 문자인식 프로그램을 통해서 깨질 확률이 5%라는 이야기입니다.

아래는 유명 사이트에서 실제로 적용되고 있는 사례들입니다. 각 사례별로 평가를 하여 별점을 매기고 그 이유를 설명했네요. 참고하시기 바랍니다.(관련링크)

※ 참조 SITE : http://blog.naver.com/znmee?Redirect=Log&logNo=70027382785

오늘 업무중에 웹인증 무차별 대입 방지 예시입니다. 아래 그림을 이야기 하려다 위의 다양한 내용을 언급하게 되네요.

관리자 페이지 보안코드 이미지 적용 사례

위와 같은 이미지는 문자 인식기로 인식이 어렵지 않아 보이지만 무차별 대입 공격하는 툴중에 이미지 문자 인식 기능이 포함된 툴이 흔치 않은 것을 감안한 사례입니다.

보안코드 이미지를 보고 게시물 작성해야지 하며 쓴게 장문이 되어가는 느낌이네요.. 부족하지만 읽어 주셔서 감사합니다.