# 브루트포스

{% hint style="info" %}
브루트포스(Brute Force) 공격은 쿠폰 번호, 인증번호, 카드 번호, 예약번호 등\
시스템이 허용하는 식별값이나 인증값을 반복적으로 대입하여\
유효한 값을 찾아내려는 공격입니다.

크리덴셜 스터핑이 유출된 ID·비밀번호 조합을 대량으로 자동 대입하는 공격이라면,\
브루트포스는 특정 대상에 대해 가능한 값을 반복적으로 추측·조회·대입하는 공격이라는 점에서 차이가 있습니다.

PLURA-XDR은 WAF 로그를 기반으로 요청 패턴과 응답 결과를 분석하여\
비정상적인 반복 조회, 인증 시도, 식별값 대입 행위를 탐지합니다.\
또한 탐지 결과를 별도 화면에서 제공하여\
보안 담당자가 공격 징후를 신속하게 확인하고 대응할 수 있도록 지원합니다.
{% endhint %}

### 1. 탐지 기준

* 반복 시도 탐지:동일 IP 또는 동일 세션에서 짧은 시간 동안 반복적인 요청이 발생하면 브루트포스 시도로 식별합니다.
* 대상 집중 탐지: 특정 URL, 인증 API, 조회 페이지, 쿠폰 입력 페이지 등에 비정상적으로 많은 요청이 집중되면 탐지 대상으로 분류합니다.
* 분산 시도 탐지: 여러 IP가 동일 대상에 대해 순차적 또는 병렬적으로 값을 대입하는 경우에도 탐지할 수 있습니다.
* 응답 패턴 분석: 응답 코드, 응답 길이, 성공·실패 결과의 차이를 분석하여 유효값 탐색 시도를 식별합니다.
* 성공 후 이상행위 연계: 유효한 값 탐색 성공 이후 추가 요청이나 비정상 세션 행위가 이어지면 우선순위를 높여 표시합니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FWEAn5ZqlMIYVEZrwmUoG%2F20251111_140834.png?alt=media&#x26;token=fcbb0b07-57b5-48c7-9f31-67031c31e7be" alt=""><figcaption></figcaption></figure>

### 2. 연계기능

* 전체 로그 연동: 탐지 항목에서 `이동`을 클릭하면 해당 조건의 전체 로그를 연계하여 확인할 수 있습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FFPxGNLpkDBVY87qm8N7W%2F20251111_140940.png?alt=media&#x26;token=c28a76ef-c0eb-4959-bfb3-3e7b9a987333" alt=""><figcaption></figcaption></figure>

### 3. 대응·알림

* 알림 설정: 개인 알림을 활성화하면 탐지 알림 메일을 수신할 수 있습니다.
* 차단 연계: 탐지 항목에서 차단을 수행하여 동일 IP 또는 유사 행위에 즉시 대응할 수 있습니다.

### 4. 예외 및 운영 정책

* 화이트리스트: 신뢰된 IP 또는 정상 업무 트래픽을 등록하여 오탐을 줄일 수 있습니다.

### 📖 PLURA-Blog

* 📺 [탈취된 JWT 토큰의 역습, 3천만 계정은 어떻게 털렸나?](https://www.youtube.com/embed/l6JeCeWeVSo?si=Ac2RwF4ce2H0jNHa)
* [쿠팡 등 API 인증 키(JWT) 유출 사고, '행위 기반' 탐지로 방어하는 방법](https://blog.plura.io/ko/threats/case-coupang_authkey/)