# 브루트포스

{% hint style="info" %}
브루트포스 공격은 특정 계정의 비밀번호뿐 아니라\
쿠폰 번호, 인증번호, 카드 번호, 예약번호 등\
시스템이 허용하는 식별값이나 인증값을 반복적으로 대입하여\
유효한 값을 찾아내려는 공격입니다.

크리덴셜 스터핑이 유출된 ID·비밀번호 조합을 대량으로 자동 대입하는 공격이라면,\
브루트포스는 특정 대상에 대해 가능한 값을 반복적으로 추측·조회·대입하는 공격이라는 점에서 차이가 있습니다.

PLURA는 WAF 로그를 기반으로 요청 패턴과 응답 결과를 분석하여\
비정상적인 반복 조회, 인증 시도, 식별값 대입 행위를 탐지하고,\
탐지 결과를 별도 화면에서 제공하여 보안 담당자가 공격 징후를 빠르게 인지하고 대응할 수 있도록 지원합니다.
{% endhint %}

### 1. 탐지 기준

* 반복 시도 탐지: 동일 IP 또는 동일 세션이 짧은 시간 동안 특정 값에 대해 반복적으로 요청을 수행하면 브루트포스 시도로 분류할 수 있습니다.
* 대상 집중 탐지: 특정 URL, 인증 API, 조회 페이지, 쿠폰 입력 페이지 등에 대해 비정상적으로 많은 요청이 집중되면 탐지 대상으로 처리됩니다.
* 분산 시도 탐지: 여러 IP가 동일 대상에 대해 순차적 또는 병렬적으로 값을 대입하는 경우도 탐지할 수 있습니다.
* 응답 패턴 분석: 성공/실패 응답 차이, 길이 차이, 상태 코드 차이 등을 분석하여 유효값 탐색 시도를 식별할 수 있습니다.
* 성공 후 이상행위 연계: 유효한 값 탐색 성공 이후 추가 요청이나 비정상 세션 행위가 이어지면 우선순위를 높여 표시합니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FWEAn5ZqlMIYVEZrwmUoG%2F20251111_140834.png?alt=media&#x26;token=fcbb0b07-57b5-48c7-9f31-67031c31e7be" alt=""><figcaption></figcaption></figure>

### 2. 연계기능

* 전체 로그 연동: 탐지 항목에서 `이동`을 클릭하면 해당 호스트, 도메인, 시간 기준으로 전체 로그가 자동 검색되며, 연관 이벤트(예: 파일 업로드, 웹 접속 등)와 함께 분석할 수 있습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FFPxGNLpkDBVY87qm8N7W%2F20251111_140940.png?alt=media&#x26;token=c28a76ef-c0eb-4959-bfb3-3e7b9a987333" alt=""><figcaption></figcaption></figure>

### 3. 대응·알림

* 알림 설정: 개인 알림 또는 시스템 알림에서 브루트포스 탐지 유형을 선택하면 메일·Syslog 등으로 통보받을 수 있습니다.
* 차단 연계: 탐지 항목에서 차단(수동/자동 차단 연동)을 수행할 수 있으며, 동일 IP 또는 유사 행위에 대해 방어 규칙을 즉시 적용할 수 있도록 연동됩니다.

### 4. 예외 및 운영 정책

* 화이트리스트: 신뢰된 IP 또는 정상 업무 트래픽을 미리 등록하여 오탐을 줄일 수 있습니다.

### 5. 참고 자료 <a href="#id-2" id="id-2"></a>

* 시연 영상: [탈취된 JWT 토큰의 역습, 3천만 계정은 어떻게 털렸나? | PLURA의 API 브루트포스 탐지 시연](https://www.youtube.com/embed/l6JeCeWeVSo?si=Ac2RwF4ce2H0jNHa)
* 블로그: [쿠팡 등 API 인증 키(JWT) 유출 사고, '행위 기반' 탐지로 방어하는 방법](https://blog.plura.io/ko/threats/case-coupang_authkey/)