[보안_GPT] Brute Force란?

**Brute Force(무차별 대입 공격)**를 정리해줄게.

---

🔥 1. Brute Force란?

정의:
Brute Force 공격은 가능한 모든 조합을 하나씩 시도하여 비밀번호, 암호화 키, 인증 토큰 등을 알아내는 공격이야.

쉽게 말하면:

👉 “모든 경우의 수를 다 시도해서 결국 맞는 값을 찾아내는 힘으로 하는 공격”

---

🔹 2. 공격 대상

1. 로그인 시스템
   • 웹/앱 로그인 페이지
   • SSH, FTP, RDP 등 원격 접속
2. 암호화된 데이터
   • ZIP, PDF, 문서 암호
   • 해시된 비밀번호
3. 인증 토큰 / API 키
   • 짧거나 예측 가능한 키일 경우

---

🔹 3. 공격 방식

1️⃣ 단순 무차별 대입

• 가능한 모든 문자열 조합을 순차적으로 시도

 

password1 → password2 → password3 → ...

2️⃣ 사전 기반 공격(Dictionary Attack)

• 실제 사용자가 쓰는 비밀번호 목록을 이용
• 예: "123456", "qwerty", "password"

3️⃣ Hybrid Attack

• 사전 공격 + 숫자/특수문자 조합 변형
• 예: "password" → "password1", "Password123!"

---

🔹 4. 공격자가 얻을 수 있는 것

• 계정 탈취
• 관리자 권한 획득
• 개인 정보 접근
• 금융/결제 정보 탈취
• 서비스 DoS 유발 (로그인 시도 폭주)

---

🔹 5. Brute Force 방어 방법

✔ 1) 비밀번호 정책 강화

• 최소 길이 8~12자
• 대문자 + 소문자 + 숫자 + 특수문자
• 비밀번호 재사용 금지

✔ 2) 로그인 시도 제한

• 실패 시 계정 잠금 또는 일정 시간 로그인 차단
• 예: 5회 실패 → 15분 차단

✔ 3) CAPTCHA 적용

• 사람만 로그인 가능하도록 봇 차단

✔ 4) MFA(2단계 인증) 적용

• 비밀번호가 노출돼도 추가 인증 필요

✔ 5) 비밀번호 해시 저장

• 해시 알고리즘 + salt 사용 (bcrypt, Argon2)

✔ 6) IP/지역 기반 차단

• 특정 IP에서 반복 실패 시 접근 제한
• 이상 로그인 감지

✔ 7) WAF 대응

• 반복 로그인 시도 패턴 차단
• Credential Stuffing 탐지

---

🎯 한 문장 요약

Brute Force = 가능한 모든 비밀번호/토큰 조합을 시도해 인증을 뚫는 공격으로, 비밀번호 강화, 로그인 제한, MFA, WAF 탐지로 방어해야 한다.