2024년도 비밀번호 크래킹 기술 & 피할 방법

콜린 티에리 콜린 티에리 Writer

비밀번호 크래킹으로부터 스스로를 보호하는 최선책

해커는 사용자의 온라인 계정을 알아내기 위해 여러 비밀번호 크래킹 기술을 활용한다. 온라인 공격이 증가함에 따라 해커가 어떻게 비밀번호를 크래킹 하는지를 알아 둘 필요가 있다. 이로써 로그인 정보 외 여러 개인정보 유출 및 도난을 방지할 수 있기 때문이다.

이번 기사에는 가장 흔히 활용되는 비밀번호 크래킹 기법을 소개한다. 그 외에도 인기 크래킹 도구, 비밀번호 유출 시 대처 방법, 비밀번호 보호 방법 등을 소개한다.

1Password 다운로드(14일 환불 가능)

해커로부터 비밀번호를 보호하는 쉽고 빠른 3가지 방법

  1. 계정마다 길고 복잡하면서 고유한 비밀번호를 생성한다. 여러 문자를 활용한 16자 이상의 비밀번호는 알아내기가 어렵다.
  2. 계정에 2FA 인증(2요소 인증)을 활성화한다. 2FA 인증에서는 비밀번호와 결합해서 이용할 추가적인 인증양식을 요구하게 되는데 보통 일회성 코드다.
  3. 비밀번호 관리자를 이용한다. 1Password 같은 비밀번호 관리자로 수백 개에 달하는 복잡한 비밀번호를 안전하고 수월하게 저장하고 관리할 수 있다.

우리 사이트는 비밀번호 크래킹 혹은 해킹을 권장하거나 묵과하지 않습니다. 본 기사는 비밀번호를 보호하고 사이버보안 위험에 대해 배우고 싶은 개인을 위한 교육용으로 작성되었습니다.

가장 흔한 비밀번호 크래킹 기법 11가지

비밀번호 크래킹과 해킹 방법은 다양하지만 아래 소개된 방법을 가장 흔하게 볼 수 있다.

1. 무차별 대입 공격

무차별 대입 공격(brute-force attack)은 여러 변수를 매 분마다 조합해 수천 개의 임의의 비밀번호를 생성하고 시도하는 공격이다. 대문자, 소문자, 숫자, 특수기호 등 문자를 조합하고 비밀번호 란에 입력한다.

해커가 생성된 비밀번호를 직접 입력할 수 도 있지만 무차별 대입 공격 프로그램을 이용해서 실제 비밀번호를 알아낼 때까지 모든 조합을 로그인 란에 집어넣을 수도 있다.

방금 소개된 방법은 기본적인 방식이며 그 외에도 아래와 같이 여러 무차별 대입 공격 유형이 존재한다.

  • 리버스 무차별 대입 공격: 이 공격에서 해커는 특정 사이트에 연결된 비밀번호를 확보한 뒤 이에 매칭되는 아이디를 찾는다.
  • 크리덴셜 스터핑 공격: 해커가 다른 사이트에서 훔친 계정 정보를 활용해 해당 사용자가 다른 사이트에서도 같은 정보로 이용하기를 희망하며 활용하는 기법이다.
  • 하이브리드 무차별 대입 공격: 무차별 대입 공격과 이미 누출된 비밀번호 데이터베이스를 조합해 이용하는 방식이다.

2. 사전 공격

사전 공격(Dictionary Search)은 흔한 문자와 구절이 모인 ‘사전 목록’을 활용해 비밀번호를 크래킹 하는 공격이다. 무차별 대입 공격과 흡사하다. 해커는 사전 단어를 이용하거나 혹은 각 단어를 편집하는 정교한 도구를 활용한다. 가령 ‘O’를 ‘0’으로 바꿔보거나 구두점을 더해 비밀번호 조합을 추측한다.

3. 비밀번호 추측하기

해커가 무차별 대입 프로그램을 이용할 수 없다면 사용자의 비밀번호를 추측하는 방식을 시도한다. 해커는 사용자의 이름 성, 집 주소, 애완견, 생년월일 등 정보를 알아내 비밀번호를 추측한다. 사용자 개인정보를 기반으로 조합한 비밀번호를 입력한다.

4. 피싱

피싱은 해커가 모방 사이트를 생성해 사용자가 로그인 정보를 제공하도록 속이는 기법이다. 심지어 기타 개인정보를 훔치기도 한다.

가장 흔한 피싱 기법은 아래와 같다.

  • 이메일 피싱: 피싱 사이트로 연결되는 대량의 이메일을 무작위의 수신자들에게 전송한다.
  • 스피어 피싱: 특정 개인들이나 회사를 대상으로 하는 이메일 피싱이다.
  • 스미싱: 사기 문자메시지를 전송하는 기법이다.
  • 소셜 미디어 피싱: 소셜 네트워크 사이트에 악성 사이트로 연결하는 링크를 게시한다. 특히 댓글에서 많이 볼 수 있다. 가량 유튜브 댓글 혹은 트위터 댓글에서 볼 수 있다.

피싱은 가장 흔하게 접할 수 있는 사이버보안 위협이다. 하지만 Norton이나 Bitdefender처럼 유명한 인터넷 보안 소프트웨어를 설치했다면 피싱 사이트 접속하는 일을 사전에 방지할 수 있는 데다 의심스러운 링크에 대해서는 알림이 뜬다.

5. 사회공학적 공격

사회공학적 공격(Social Engineering)은 해커가 합법적인 주체를 활용해 개인정보를 탈취하는 기법이다. 가령 은행 직원을 사칭하는 것이다. 해커는 목표물의 배경정보를 활용해 이들이 자신도 모르는 사이에 정보를 제공하도록 만들어 버린다.

사회공학적 공격은 아래처럼 다양한 형태로 발생하고 있다.

  • 사기 전화: 은행처럼 합법적인 기관의 직원인척 다가와 목표 대상으로부터 개인정보를 알아낸다.
  • 이메일: 마치 합법적인 주체가 보낸 것처럼 공들여 만든 이메일을 보내어 수신자가 개인정보를 제공하거나 악성코드를 기기에 설치하도록 유도한다. 이때 사기꾼은 피해자에게 신뢰를 얻기 위해 대화를 시도한다
  • 소셜 미디어 메시지: 해커는 회사 계정, 심지어는 친구인 척 계정을 만들어 사용자를 속인다.
  • 대인: 사기꾼은 사회공학적 공격을 대면으로 시도하는데 심지어는 가짜 유니폼을 입고 나타나 특정 회사 직원인 척하거나 여러 질문을 던진다.

6. 스파이웨어

스파이웨어는 컴퓨터나 스마트폰에서 행하는 사용자의 모든 활동을 감시하고 기록할 수 있는 숨겨진 악성코드다. 기기 설정을 조정하거나 웹 캠까지 통제할 수 있다. 기본적으로 스파이웨어는 온라인에서의 사용자의 모든 활동을 감시하고 방문하는 사이트를 보고 사이트 접속에 활용하는 아이디와 비밀번호를 기록할 수 있다. 이후에 해커는 사용자 계정에 쉽게 접속할 수 있다.

스파이웨어는 보통 잡아내기가 어렵지만 성능 좋은 백신 검사 프로그램으로 스파이웨어를 알아내고 제거할 수 있다.

7. 키로거

키로거 혹은 키로깅 악성코드는 사용자의 키보드 입력을 기록해 민감한 정보를 훔치고자 한다. 이런 유형의 악성코드는 스파이웨어로 분류된다. 키로거가 사용자의 키 입력을 기록하면 이 정보를 해커에게 전송하고 이 해커는 로그인 정보에 일치하는 계정을 알아낸다.

8. 중간자 공격

중간자 공격은 해커가 네트워크 활동을 염탐하거나 네트워크를 거쳐 전송되는 데이터를 가로채는 것을 의미한다. 가령 아이디, 비밀번호, 결제 카드 정보 등이 있다. 중간자 공격은 보통 공공 와이파이처럼 보안되지 않은 네트워크에서 발생하는데, 이런 네트워크에서는 악의를 가진 주체가 정교한 해킹 기술로 네트워크 데이터를 가로챌 수 있다(가령 IP 스푸핑을 들 수 있다).

9. 스파이더링 공격

스파이더링(Spidering)은 해커가 회사나 개인과 관련된 정보를 수집하는 비밀번호 크래킹 기술이다. 목적은 대상의 로그인 정보를 보다 잘 추측하기 위함이다. 피해자의 소셜 미디어, 웹 보유 등 정보를 파악하고 수집된 정보를 기반으로 해커는 피해자의 생일, 회사명 등이 포함된 비밀번호를 생성한다.

10. 레인보우 테이블 공격

레인보우 테이블은 비밀번호 해시값 크래킹에 사용되는 변환 가능한 해시값을 미리 계산한 거대한 표다. 하지만 해커는 레인보우 테이블 공격을 수행하기에 앞서 비밀번호 해시값 목록에 접근할 수 있어야 한다. 이는 보통 데이터 유출 이후에 가능하다. 이 공격은 ‘솔팅(Salting)’이라는  기술로 막을 수 있다. 솔팅은 다른 해시값을 생성하기 위해 모든 해시 비밀번호에 추가적인 임의의 값을 추가한다. 대다수 비밀번호 인증 시스템에 이 기법이 포함된다.

11. 데이터 유출

데이터 유출은 해커가 사용자의 계정이 있는 회사 서버에 접근해 여러 민감한 정보를 빼돌리는 것을 의미한다. 여기서 민감한 정보라 함은 아이디, 비밀번호 등이 포함된다. 데이터 유출로 한 개 이상의 비밀번호가 유출됐다면 즉시 계정을 보안하고 비밀번호를 변경해야 한다.

인기 비밀번호 크래킹 도구

가장 인기 많은 비밀번호 크래킹 도구는 아래와 같다.

  • Cain and Abel. Cain and Abel은 윈도에서만 이용 가능한 인기 비밀번호 크래킹 도구다. 루트 프로토콜 및 패킷 분석, MAC 주소를 위한 무선 네트워크 검사, 무차별 대입 및 사전 공격 수행 등 여러 기능을 수행할 수 있다.
  • Hashcat. Hashcat은 윈도, macOS, 리눅스를 위한 무료 오픈소스 비밀번호 크래킹 도구다. 시중에서 만나볼 수 있는 가장 빠른 비밀번호 크래커로 무차별 대입 및 사전 공격을 수행할 수 있다.
  • John the Ripper. John the Ripper는 리눅스와 macOS를 위한 명령 기반 비밀번호 크래킹 응용프로그램이다. 무료에 오픈소스이고 다양한 암호와 해시 유형을 지원하는데, 가령 Unix, macOS, 윈도 사용자 비밀번호, 웹 응용프로그램, 데이터베이스 서버 등이 있다.
  • Ophcrack. Ophcrack은 레인보우 테이블 공격을 이용하는 비밀번호 해시를 크래킹 할 목적으로 만들어진 무료 오픈소스 도구다. 윈도, macOS, 리눅스에 이용할 수 있다. 무차별 대입 공격이 제공되며 빠른 시간 안에 대다수 비밀번호를 크래킹 할 수 있다.
  • RainbowCrack. RainbowCrack은 피해자의 비밀번호를 크래킹 하기 위한 레인보우 테이블을 생성하는 무차별 대입 비밀번호 복구 도구다.
  • CrackStation. CrackStation은 무료 패스워드 크래커로 레인보우 테이블을 이용해 비밀번호 해시에 접근한다.
  • WFuzz. WFuzz는 기본적으로 무차별 대입 공격으로 웹 응용프로그램 비밀번호 크래킹을 목적으로 한 비밀번호 크래킹 도구다.

이외에도 각종 비밀번호 크래킹 도구가 있고, 보다 빠른 결과를 얻기 위해 해커는 다양하게 도구를 사용한다. 그러므로 언제나 경계를 늦추지 않는 것이 좋다.

비밀번호 유출 여부 알아내는 방법

  • 유출 검사를 이용한다. 1Password 같은 우수 비밀번호 관리자로 데이터 유출 검사를 실시한다. 이런 프로그램은 데이터 유출로 인해 다크 웹에 사용자의 비밀번호나 기타 개인정보가 퍼지지 않는지 알려준다.
  • 의심스러운 활동을 찾아본다. 내 이메일 주소에서 승인되지 않은 메시지 등 비정상적인 활동을 포착한다면 비밀번호가 해킹 당했을 확률이 높다. 즉시 계정을 보호해야 한다.
  • 모르는 기기나 위치로부터 로그인 알림이 왔는지 알아본다. 승인하지 않은 장치나 위치로부터 계정 로인 알림을 받을 경우 해커가 계정 비밀번호에 접근했을 가능성이 있다.
  • 유출된 비밀번호 데이터베이스를 확인한다. password123 처럼 흔한 비밀번호를 이용한다면 알려진 유출 비밀번호 데이터베이스에 표시될 것이다. 그렇다면 최대한 빨리 변경하는 것이 좋다.
  • 2요소 인증(2FA) 코드 요청을 찾아본다. 요청하지 않았는데 내 기기에 2요소 인증 코드가 왔다면 비밀번호 해킹 가능성이 매우 높다. 공격자가 계정에 접근하려 시도하는 중인 것이다.

비밀번호 유출 시 대처 방법

비밀번호가 유출됐다는 사실을 알게 된 후 가장 먼저 할 일은 즉각적으로 비밀번호를 변경하는 것이다. 해커가 자신의 계정에 마음대로 접근한 이후 이로 인한 피해를 최소화할 수 있는 최고의 방법이다. 또 유출된 비밀번호의 계정에서 2요소 인증을 활성화하는 것이 좋다.

추가로 인기 비밀번호 관리자를 다운로드하는 것이 좋다. 해당 서비스는 데이터 유출 검사를 제공해 사용자의 민감한 정보가 해커에게 노출되지 않았는지 확인할 수 있어야 한다. 가령 1Password의 Watchtower 기능은 비밀번호가 유출되면 사용자에게 바로 알려준다.

다크 웹 검사를 실행해 기타 개인 정보가 유출되지 않았는지 확인하고 신뢰할 수 있는 신원 도용 업체에 가입해 해커가 더 이상 개인정보를 활용하지 못하도록 방지할 수 있다.

비밀번호 유출 & 해킹 방지 방법

강력한 비밀번호 생성하기

크래킹으로부터 비밀번호를 보호하는 최고의 방법은 알아내기 어려운 길고 복잡한 비밀번호를 생성하는 것이다. 비밀번호 길이가 길고 복잡할수록 알아내기는 어렵다. ‘cats123’ 같이 짧은 비밀번호는 몇 분이면 알아낼 수 있다(몇 초일수도 있다!). 반면 ‘CaTs-are_my-Favor1tE_aN1maL!’ 같은 비밀번호는 제아무리 툴을 써도 수백만 년은 걸려야 풀 수 있다.

비밀번호 관리자 이용하기

1Password 같은 비밀번호 관리자 앱은 로그인 정보를 안전하게 보호하는 좋은 아이디어다. 모든 정보는 고급 암호화를 통해 저장되므로 해커가 마스터 비밀번호를 확보하지 않는 이상 알아내기가 사실상 어렵다. 게다가 한국어로 데스크톱과 모바일 앱도 제공 중이다.

비밀번호 관리자는 해커가 크래킹 하기 어려운 길고 복잡한 비밀번호를 쉽게 생성할 수 있다. 대다수 상위 비밀번호 관리자는 숫자, 문자, 특수부호를 마음껏 섞어 생성할 수 있도록 길이 제한이 넉넉한 비밀번호 생성기를 제공한다.

백신 소프트웨어 설치하기

백신 소프트웨어를 설치하면 기기를 보다 안전하게 보호할 수 있다. 피싱이나 스파이웨어 같은 인기 비밀번호 해킹 기법에도 끄떡없다. 대다수 상위 백신 프로그램에서는 해커가 피싱 공격으로 비밀번호를 알아낼 수 없도록 막기 위해 웹 보호를 제공한다.

비밀번호 크래킹에 있어 추천하는 백신은 Norton이다. 100% 악성코드 탐지율을 자랑하고 매우 안전하다. 데스크톱과 모바일 앱은 한국어로도 이용 가능하다. 피싱, 스파이웨어, 랜섬웨어 위협에도 뛰어난 보호를 제공한다.

온라인 사기 조심하기

온라인에서는 사기 사이트를 주의해야 한다. 해커는 이메일, 문자, 소셜 미디어를 통해 피싱 메시지를 전송하고 피해자를 속여 로그인 정보를 빼낸다. 그렇기 때문에 믿을 수 없는 연락처에서 전송되는 메시지는 조심해야 한다. 의심스러운 첨부 파일은 다운로드하지 않고 이메일 스팸함으로 바로 이동시켜야 한다.

장치 업데이트 유지하기

장치 소프트웨어와 펌웨어를 가능한 한 빨리 업데이트하는 것이 중요하다. 오래된 소프트웨어 응용프로그램과 펌웨어는 패칭이 필요한 취약성을 지니고 있다. 업데이트 설치를 하지 않으면 기기가 해커의 사이버 공격에 취약해져 해커가 비밀번호 유출 악성코드를 심을 수 있다.

자주 묻는 질문

비밀번호 크래킹은 불법일가?

그렇다, 비밀번호 크래킹은 불법이다. 비밀번호 크래킹 기법을 이용해 자신의 비밀번호를 알아내는 건 불법이 아니지만 동일한 방법으로 타인의 비밀번호를 알아내면 형사 처벌을 받을 수 있다.

1Password 같은 상위 비밀번호 관리자는 강력한 비밀번호를 새롭게 생성해 비밀번호 저장소에 안전하게 저장함으로써 비밀번호를 보호한다.

해커는 비밀번호를 어떻게 알아낼까?

가장 흔하게 볼 수 있는 비밀번호 크래킹 기법으로 무차별 대입 공격, 피싱, 스파이웨어가 있다. 무차별 대입 공격은 해커가 다양한 변수를 활용해 수천 개의 비밀번호를 임의로 생성해 비밀번호를 알아내는 방법이다. 피싱이란 사용자가 개인정보를 내주도록 속이는 가짜 사이트를 만드는 것이다. 스파이웨어는 숨겨진 악성코드로 컴퓨터나 스마트폰의 사용자 화면을 기록하거나 기기 설정을 변경하거나 심지어 웹 캠을 조정할 수도 있다.

알아내기 어려운 비밀번호는 어떤 것일까?

알아내기 어려운 비밀번호는 많은 문자를 활용한 긴 비밀번호로 숫자, 문자, 특수기호를 섞는다. 강력한 비밀번호를 빠르고 쉽게 생성하는 최고의 방법은 상위 비밀번호 관리자의 비밀번호 생성기를 이용하는 것이다. 개인적으로 1Password를 추천한다. 무작위로 숫자, 문자, 특수기호를 섞어 최대 100자에 달하는 비밀번호를 생성하는 우수한 비밀번호 생성기를 제공 중이다.

크래킹 혹은 도난 당한 비밀번호는 어떻게 보호할까?

크래킹 또는 도난 당한 비밀번호를 보호하는 최고의 방법은 아래와 같다.

  1. 비밀번호 관리자를 이용한다.
  2. 백신 소프트웨어를 설치한다.
  3. 기기 업데이트를 유지한다.

상위 비밀번호 관리자(1Password 등)로 고도로 보안된 비밀번호를 생성할 수 있으면서  뛰어난 백신 프로그램(Norton 등)으로 피싱이나 스파이웨어 같은 비밀번호 크래킹 기법으로부터 기기를 안전하게 보호할 수 있다. 새로운 사이버 위협에 대비해 시스템을 보호하기 위해서는 항상 기기 업데이트 상태르 유지하는 것이 중요하다.

비밀번호 크래킹을 당하고 싶지 않다면 SafetyDetectives가 선정한 2024년도 최상위 프리미엄 비밀번호 관리자를 알아보자

순위
평점
베스트 딜
1
9.8
할인율 25%
2
9.6
할인율 100%
3
9.4
할인율 60%
4
9.2
할인율 30%
5
9.0
할인율 50%
사이트에 게시된 목록은 사이트가 보상을 받는 회사 출처이며 일부는 모기업이 공동 소유하고 있습니다. 이는 목록 내 순위 및 방식에 영향을 미칩니다. 
더 알아보기
저자에 대한 정보

저자에 대한 정보

콜린 티에리는 사이버 보안 연구원이자 저널리스트로 지난 2년 동안 웹을 위한 다양한 콘텐츠를 작성했습니다. 여가 시간에 그는 야외에서 시간을 보내고, 여행하고, 스포츠를 보고, 비디오 게임을 즐깁니다.

댓글 달기