Home > 전체기사
보안 향상 위한 비밀번호 크래킹 도구, 오늘 무료로 풀렸다
  |  입력 : 2019-12-05 16:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
블랙햇 유럽에서 발표된 크랙큐...비밀번호 상태 점검 위한 크래킹 도구
파이선으로 만들어져 유연한 확장 가능...클릭 한 번으로 상세 보고서 출력도


[보안뉴스 문가용 기자] 보안 업체 트러스트웨이브(Trustwave)가 새로운 보안 도구를 오픈소스로 공개했다. 보안 연구 팀에서 사용할 만한 패스워드 크래킹 도구이자 플랫폼으로, 이름은 크랙큐(CrackQ)라고 한다. 막 개최한 블랙햇 유럽에서 처음 공개됐다.

[이미지 = iclickart]


크랙큐를 활용해 보안 팀은 주기적으로 자가 해킹 점검을 실시하거나, 레드팀의 훈련 및 모의 해킹 도구로 사용하는 게 가능하다고 한다. “그렇게 하면서 조직 내 비밀번호 설정 문화가 얼마나 건강한지 점검할 수 있습니다.”

크랙큐는 웹 애플리케이션 프레임워크인 플라스크(Flask)를 바탕으로 하고 있으며, 파이선으로 개발됐다. 트러스트웨이브의 수석 보안 컨설턴트인 댄 터너(Dan Turner)에 따르면 “대시보드를 통해 비밀번호 크래킹 시나리오를 짤 수 있도록 그래픽 라이브러리도 탑재되어 있고, 다양한 방향으로 확장이 가능하도록 설계되어 있다”고 한다.

“대시보드를 활용할 경우 비밀번호를 설정하거나 선택하는 부분에 있어 어떤 부분이 취약한지 가시적으로 볼 수 있습니다. 보안 팀이 내부 임직원의 비밀번호 사용 현황을 점검하거나, 레드팀이 모의 훈련을 할 때 사용할 수 있을 것입니다.” 터너의 설명이다.

비밀번호 점검의 필요성은 어느 조직에서나 절실하다. 비밀번호는 임직원 개개인이 직접 고르고 설정하도록 되어 있는 게 대부분이고, 모든 사람이 매번 성심성의껏 비밀번호를 대하지 않는다. 따라서 거의 모든 경우 보안에 있어 가장 약한 고리로서 작용하며, 한 보고서에 따르면 전체 비밀번호의 56%가 10번 내 시도로 크래킹이 가능하다고도 한다.

많은 보안 실천 사항들이 비밀번호와 관련된 것이기도 하다. 비밀번호를 복잡하게 설정하고, 일정 시간이 지나면 자동으로 로그아웃 되게 하고, 주기적으로 비밀번호를 바꾸라는 조언은 누구나 한 번쯤 들어본 것이다. 그럼에도 비밀번호를 통해 벌어지는 보안 사고는 끊이지 않는다.

“어느 조직에나 불안전한 비밀번호가 대량으로 존재합니다. 공격자들에게 필요한 건 약한 비밀번호 단 하나뿐이고요. 비밀번호가 하나만 뚫리면 네트워크를 침해해 자유롭게 다닐 수 있습니다. 그게 비밀번호가 가진 치명적인 특징입니다.” 터너는 개선되지 않는 비밀번호 문제를 향상시키고자 크랙큐를 개발했다고 설명했다. “자율성에 맡기기만 해서는 안 됩니다. 이런 도구를 통해 점검하고 그 결과를 눈으로 보여줘야 하죠.”

크랙큐는 클라이언트-서버 시스템으로 만들어졌고, 자바스크립트로 된 프론트엔드와 인증을 위한 다양한 매커니즘으로 구성되어 있다. “비밀번호 크래킹은 서버에서 진행되며, 이 서버는 GPU 가속 하드웨어의 힘을 받아 해시캣(Hashcat)을 운영함으로써 임무를 수행합니다. 시스템 전체는 파이선과 플라스크를 기반으로 하고 있기 때문에 필요에 따라 쉽게 확장할 수도 있습니다.”

또한 버튼 한 번만 누르면 비밀번호를 크랙킹한 서버가 분석 보고서를 작성하기도 한다. 터너에 따르면 보고서에는 다음과 같은 정보들이 포함되어 있다고 한다.
1) 크래킹에 걸린 시간(속도)
2) 조직 내에서 사용되고 있는 불안전한 비밀번호들
3) 위 2)번에 나타나는 비밀번호들의 패턴
4) 비밀번호에 사용된 단어나 문장을 바탕으로 추측한 사용자의 국적과 지리적 위치

크랙큐에는 해시캣 브레인(Hashcat Brain)이라는 기능도 있다. 비밀번호를 크래킹하는 과정에서 같은 비밀번호를 반복적으로 대입하는 걸 방지한다. “같은 비밀번호를 여러 번 대입해야 할 때도 있습니다. 하지만 그것이 병목현상을 일으킬 때도 있어요. 해시캣 브레인은 병목현상을 잡아주는 역할을 합니다. 따라서 크래킹 과정이 보다 부드럽게 진행되도록 해줍니다.”

크랙큐는 비밀번호의 중요성을 강조하지만 별 다른 결실을 얻지 못하는 각 조직의 보안 담당자들에게 새로운 힘을 실어줄 수 있을 것으로 기대된다. 비밀번호와 관련된 실태를 적나라하게 보여줄 수 있기 때문이다. “실제적으로 약한 부분을 탐지해내는 것뿐만 아니라, 보고서를 통해 실상을 가시적으로 보여준다는 게 크랙큐의 가장 큰 장점입니다.”

크랙큐는 깃허브에서 다운로드(https://github.com/f0cker/crackq)가 가능하다.

3줄 요약
1. 비밀번호의 중요성 아무리 강조해도 실질적인 향상은 더딤.
2. 비밀번호를 실제로 크래킹해줌으로써 실태를 적나라하게 보여줄 도구가 개발됨.
3. 이 도구의 이름은 크랙큐로, 현재 무료 다운로드 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)