블랙햇 유럽에서 발표된 크랙큐...비밀번호 상태 점검 위한 크래킹 도구
파이선으로 만들어져 유연한 확장 가능...클릭 한 번으로 상세 보고서 출력도
[보안뉴스 문가용 기자] 보안 업체 트러스트웨이브(Trustwave)가 새로운 보안 도구를 오픈소스로 공개했다. 보안 연구 팀에서 사용할 만한 패스워드 크래킹 도구이자 플랫폼으로, 이름은 크랙큐(CrackQ)라고 한다. 막 개최한 블랙햇 유럽에서 처음 공개됐다.
크랙큐를 활용해 보안 팀은 주기적으로 자가 해킹 점검을 실시하거나, 레드팀의 훈련 및 모의 해킹 도구로 사용하는 게 가능하다고 한다. “그렇게 하면서 조직 내 비밀번호 설정 문화가 얼마나 건강한지 점검할 수 있습니다.”
크랙큐는 웹 애플리케이션 프레임워크인 플라스크(Flask)를 바탕으로 하고 있으며, 파이선으로 개발됐다. 트러스트웨이브의 수석 보안 컨설턴트인 댄 터너(Dan Turner)에 따르면 “대시보드를 통해 비밀번호 크래킹 시나리오를 짤 수 있도록 그래픽 라이브러리도 탑재되어 있고, 다양한 방향으로 확장이 가능하도록 설계되어 있다”고 한다.
“대시보드를 활용할 경우 비밀번호를 설정하거나 선택하는 부분에 있어 어떤 부분이 취약한지 가시적으로 볼 수 있습니다. 보안 팀이 내부 임직원의 비밀번호 사용 현황을 점검하거나, 레드팀이 모의 훈련을 할 때 사용할 수 있을 것입니다.” 터너의 설명이다.
비밀번호 점검의 필요성은 어느 조직에서나 절실하다. 비밀번호는 임직원 개개인이 직접 고르고 설정하도록 되어 있는 게 대부분이고, 모든 사람이 매번 성심성의껏 비밀번호를 대하지 않는다. 따라서 거의 모든 경우 보안에 있어 가장 약한 고리로서 작용하며, 한 보고서에 따르면 전체 비밀번호의 56%가 10번 내 시도로 크래킹이 가능하다고도 한다.
많은 보안 실천 사항들이 비밀번호와 관련된 것이기도 하다. 비밀번호를 복잡하게 설정하고, 일정 시간이 지나면 자동으로 로그아웃 되게 하고, 주기적으로 비밀번호를 바꾸라는 조언은 누구나 한 번쯤 들어본 것이다. 그럼에도 비밀번호를 통해 벌어지는 보안 사고는 끊이지 않는다.
“어느 조직에나 불안전한 비밀번호가 대량으로 존재합니다. 공격자들에게 필요한 건 약한 비밀번호 단 하나뿐이고요. 비밀번호가 하나만 뚫리면 네트워크를 침해해 자유롭게 다닐 수 있습니다. 그게 비밀번호가 가진 치명적인 특징입니다.” 터너는 개선되지 않는 비밀번호 문제를 향상시키고자 크랙큐를 개발했다고 설명했다. “자율성에 맡기기만 해서는 안 됩니다. 이런 도구를 통해 점검하고 그 결과를 눈으로 보여줘야 하죠.”
크랙큐는 클라이언트-서버 시스템으로 만들어졌고, 자바스크립트로 된 프론트엔드와 인증을 위한 다양한 매커니즘으로 구성되어 있다. “비밀번호 크래킹은 서버에서 진행되며, 이 서버는 GPU 가속 하드웨어의 힘을 받아 해시캣(Hashcat)을 운영함으로써 임무를 수행합니다. 시스템 전체는 파이선과 플라스크를 기반으로 하고 있기 때문에 필요에 따라 쉽게 확장할 수도 있습니다.”
또한 버튼 한 번만 누르면 비밀번호를 크랙킹한 서버가 분석 보고서를 작성하기도 한다. 터너에 따르면 보고서에는 다음과 같은 정보들이 포함되어 있다고 한다.
1) 크래킹에 걸린 시간(속도)
2) 조직 내에서 사용되고 있는 불안전한 비밀번호들
3) 위 2)번에 나타나는 비밀번호들의 패턴
4) 비밀번호에 사용된 단어나 문장을 바탕으로 추측한 사용자의 국적과 지리적 위치
크랙큐에는 해시캣 브레인(Hashcat Brain)이라는 기능도 있다. 비밀번호를 크래킹하는 과정에서 같은 비밀번호를 반복적으로 대입하는 걸 방지한다. “같은 비밀번호를 여러 번 대입해야 할 때도 있습니다. 하지만 그것이 병목현상을 일으킬 때도 있어요. 해시캣 브레인은 병목현상을 잡아주는 역할을 합니다. 따라서 크래킹 과정이 보다 부드럽게 진행되도록 해줍니다.”
크랙큐는 비밀번호의 중요성을 강조하지만 별 다른 결실을 얻지 못하는 각 조직의 보안 담당자들에게 새로운 힘을 실어줄 수 있을 것으로 기대된다. 비밀번호와 관련된 실태를 적나라하게 보여줄 수 있기 때문이다. “실제적으로 약한 부분을 탐지해내는 것뿐만 아니라, 보고서를 통해 실상을 가시적으로 보여준다는 게 크랙큐의 가장 큰 장점입니다.”
크랙큐는 깃허브에서 다운로드(https://github.com/f0cker/crackq)가 가능하다.
3줄 요약
1. 비밀번호의 중요성 아무리 강조해도 실질적인 향상은 더딤.
2. 비밀번호를 실제로 크래킹해줌으로써 실태를 적나라하게 보여줄 도구가 개발됨.
3. 이 도구의 이름은 크랙큐로, 현재 무료 다운로드 가능.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
'[ ★ ]Study > News' 카테고리의 다른 글
| 부활한 워터베어 캠페인, 이번에는 API 후킹 기능도 탑재 (0) | 2019.12.14 |
|---|---|
| 올해의 마지막 정기 패치 통해 36개 취약점 해결한 MS (0) | 2019.12.11 |
| 연말연시 특수 노리나? 공격자들, 환대산업에 집중 (0) | 2019.12.03 |
| 게이미피케이션, 보안 교육 분야로 슬금슬금 넘어오다 (0) | 2019.12.02 |
| K-POP 사랑한 동남아 해커? 디페이스 해킹 후 한국 걸그룹 사진 ‘도배’ (0) | 2019.11.29 |
댓글