취약한 암호 테스트(WPT)

공유

이 문서가 도움이 되나요?

마지막 업데이트:

취약한 암호 테스트(WPT) 제품 매뉴얼

취약한 암호 테스트(WPT)에 대해 자세히 알아보려면 아래 섹션을 읽어보거나 간략한 취약한 암호 테스트(WPT) 동영상을 시청하세요.

WPT 소개

WPT는 사용자의 액티브 디렉터리(AD)를 검사하여 암호 관련 공격에 취약한 암호를 찾아내는 무료 도구입니다.

WPT는 AD에 연결되어 해시된 암호와 암호화 알고리즘을 사용하여 암호 테이블을 검색합니다. 그런 다음 사용자 암호를 분석하여 10가지 잠재적인 암호 취약점 유무를 식별합니다.

결과에는 테스트 통과에 실패한 사용자 계정과 그 이유가 표시됩니다. 이 정보를 바탕으로 조직의 암호 복잡성 요구 사항을 보완하고, 사용자에게 안전한 암호 사용에 대해 교육하거나, 조직의 보안을 강화하기 위한 기타 조치를 취할 수 있습니다.

시스템 요구 사항 및 전제 조건

WPT를 실행하려면 시스템이 다음 요구 사항을 충족해야 합니다.

  • Windows 10 이상(32비트 또는 64비트), Windows Server 2016 이상
  • Windows Server 2008 R2 이상에서 실행되는 액티브 디렉터리(AD)
  • 도메인 컨트롤러(DC)에 액세스할 수 있는 기능
  • 인터넷 액세스
  • .NET Framework 4.7.2(필요한 경우 설치됨)
  • 프로세서 2개 이상
  • RAM 용량 2GB 이상
  • 시스템 드라이브에 확보된 1GB 이상의 하드 디스크 드라이브(HDD) 공간
  • 사용자 계정 컨트롤(UAC) 활성화

검사 프로세스로 인해 일시적으로 네트워크 트래픽과 중앙 처리 장치(CPU) 사용률이 급증할 수 있으므로 DC가 아닌 다른 시스템에서 이 테스트를 실행하는 것이 좋습니다.

설치를 위해 다음 정보가 필요합니다.

  1. 테스트 등록 시 이메일로 받은 라이선스 키.
  2. AD의 도메인 이름. 예: MyDomain.com 또는 MyDomain.local.
  3. DC 이름.
  4. AD 연결을 위한 인증 정보.
중요: 검사를 성공적으로 실행하려면 WPT로 AD에 연결하는 데 사용하는 인증 정보에 Replicating Directory Changes(디렉터리 변경 사항 복제) 및 Replicating Directory Changes All(디렉터리 변경 사항 모두 복제) 권한이 사용하도록 설정되어 있어야 합니다. 이러한 권한을 사용하면 분석을 위해 암호 테이블의 사본을 가져올 수 있습니다.

설치 및 설정

시스템 요구 사항 및 전제 조건을 충족하면 WPT를 설치하고 설정할 수 있습니다. 시작하려면 아래 단계를 따르세요.

  1. WPT 페이지에서 WPT 도구 다운로드를 위해 등록한 후 WPT 설치 파일을 다운로드합니다.
  2. 이메일을 확인하여 설정 과정에 사용되는 고유한 WPT 라이선스 키를 받습니다.
  3. WPT 설치 파일을 실행합니다.
  4. 라이선스 계약을 검토하고 동의합니다. 그런 다음 Install(설치)을 클릭하여 설치를 완료합니다.
  5. Finish(마침)를 클릭하여 WPT를 시작합니다.
  6. 1단계에서 받은 라이선스 키를 입력하고 OK(확인)를 클릭합니다.
  7. Active Directory Details(액티브 디렉터리 세부 정보)에서 액티브 디렉터리(AD)의 필수 세부 정보를 입력합니다.
    • AD의 도메인 이름
    • 도메인 컨트롤러(DC)의 이름
  8. Credentials(인증 정보)에서 생성한 계정의 사용자 이름과 암호를 입력합니다. 계정에는 Replicating Directory Changes(디렉터리 변경 사항 복제) 및 Replicating Directory Changes All(디렉터리 변경 사항 모두 복제) 권한이 활성화되어 있어야 합니다.
  9. Start Test(테스트 시작)를 클릭하여 테스트를 시작합니다.
  10. 테스트는 AD 계정을 분석하여 취약한 암호를 찾아냅니다. AD의 크기와 워크스테이션 성능에 따라 이 프로세스는 1분 이상 걸릴 수 있습니다.
  11. 테스트가 완료되는 즉시 결과가 화면에 표시됩니다. 각 취약점에 대해 살펴보려면 다음 섹션을 읽어보세요.

결과 해석

WPT 결과에는 취약한 계정의 수와 각 계정에 해당하는 취약점이 표시됩니다. 아래 섹션에 테스트 결과를 탐색하는 방법과 발견된 각 암호 취약점의 유형에 대해 설명되어 있습니다.

결과 탐색

액티브 디렉터리(AD)의 각 계정은 개별 행에 나열됩니다. 각 행의 체크 표시(하나 또는 다수)는 해당 특정 계정에 대해 발견된 특정 취약점을 나타냅니다. 검색창에 문자를 입력하여 특정 계정을 검색할 수도 있습니다.

원형 차트는 발견된 취약점의 수와 유형을 비교 분석하여 보여주며 조직에서 가장 흔한 암호 취약점을 파악하는 데 사용할 수 있습니다.

특정 취약점을 분석하려는 경우 실패 유형별로 결과를 필터링할 수 있습니다. 이를 위해 창 왼쪽에서 특정 실패 유형을 클릭하면 해당 유형의 계정만 목록에 표시됩니다.

다음은 WPT 사용자 인터페이스와 관련한 추가 정보입니다.

  1. 페이지 왼쪽의 사이드바를 클릭하면 실패 유형별로 결과를 필터링할 수 있습니다.
  2. 검색창에서 특정 AD 계정을 검색할 수 있습니다.
  3. 각 행의 체크 표시는 각 계정에서 발견된 취약점 유형을 나타냅니다.
  4. 결과를 엑셀 스프레드시트(Excel Spreadsheet) 또는 PDF 파일로 내보낼 수 있습니다.
  5. WPT를 다시 실행하려면 Rerun Test(테스트 다시 실행)를 클릭합니다. 이 버튼을 클릭하기 전에 현재 결과를 저장하는 것이 좋습니다.

실패 유형

WPT는 데이터를 분석하여 조직을 공격에 취약하게 만들 수 있는 10가지 실패 유형을 찾아냅니다. 각 유형은 아래와 같습니다.

  1. Weak Password(취약한 암호): 이 실패 유형은 해당 계정의 암호가 취약한 암호 사전에 포함된 암호 중 하나와 일치했음을 나타냅니다. 이러한 암호는 매우 일반적이거나, 추측하기 쉽거나, 과거 데이터 유출로 인해 공격자가 사용할 수 있게 된 암호입니다.
  2. Shared Password(공유된 암호): 이 실패 유형은 해당 계정이 적어도 하나 이상의 다른 계정과 암호를 공유하고 있음을 나타냅니다.
  3. Empty Password(비어 있는 암호): 이 실패 유형에는 암호가 설정되어 있지 않은 계정이 포함됩니다.
  4. Clear Text Password(일반 텍스트 암호): 이 실패 유형에는 액티브 디렉터리(AD)에 일반 텍스트로 저장된 암호가 포함됩니다. 다시 말해 사용자의 AD 암호가 해독 가능한 암호화를 사용하여 저장되었음을 의미합니다.
  5. Password Not Required(암호 필요 없음): 이 실패 유형에는 암호를 설정하지 않아도 되는 계정이 포함됩니다.
  6. Password Never Expires(암호 만료되지 않음): 계정의 암호 시간 초과값이 0으로 설정되어 있음을 나타냅니다. 이 경우 사용자 속성에서 Password never expires(암호 만료되지 않음) 체크 상자가 선택 해제되어 있어도 암호가 만료되지 않습니다. WPT는 조직의 도메인 정책, 상세 암호 정책 및 사용자 속성에서 암호 만료 설정을 확인합니다.
  7. LM Hash Password(LM 해시 암호): 이 실패 유형은 해당 계정이 오래된 방법인 LAN(로컬 영역 네트워크) 관리자 해시를 사용하고 있음을 나타냅니다. 이러한 암호는 무차별 암호 대입 공격에 취약하며 단시간 내에 해킹당할 수 있습니다.
  8. AES Encryption Not Set(AES 암호화 미설정): 이 실패 유형은 계정이 사용자의 암호를 고급 암호화 표준(AES)을 사용하여 암호화하지 않음을 나타냅니다. AES는 128비트 또는 256비트 키로 암호를 암호화합니다. AES 암호화를 사용하는 암호는 공격에 덜 취약합니다.
  9. DES-Only Encryption(DES 전용 암호화): 이 실패 유형은 해당 계정이 더는 사용되지 않는 DES(데이터 암호화 표준) 메커니즘을 사용하여 설정되었음을 나타냅니다. AES와 호환되지 않는 오래된 소프트웨어 사용이 원인일 수 있습니다.

  10. Missing Pre-Authentication(사전 인증 비활성화): 이 실패 유형은 해당 계정에 보안 메커니즘의 하나인 사전 인증이 비활성화되어 있음을 나타냅니다. 사전 인증을 활성화하면 암호화된 인증 요청이 생성되므로 계정에 대한 인증 시도가 기록됩니다.

    사전 인증이 비활성화된 계정은 무차별 대입 공격의 위험에 노출될 수 있습니다. 무차별 대입 공격은 오프라인에서 발생할 수 있으며 탐지하기 어렵습니다.

설정

다양한 설정을 통해 WPT를 사용자 지정할 수 있습니다. 자세한 내용은 아래 하위 섹션을 참조하세요.

선택 가능한 취약점

WPT 검사에서 다음의 두 가지 암호 취약점을 활성화 또는 비활성화할 수 있습니다. AES Encryption No Set(AES 암호화 미설정) 또는 Password Never Expires(암호 만료되지 않음). 이 설정에 액세스하려면 창의 오른쪽 상단에 있는 톱니바퀴 아이콘을 클릭합니다.

사용자 지정 암호

WPT는 대규모 암호 라이브러리를 사용하여 사용자 암호가 취약한지 여부를 확인합니다. 특정 암호를 WPT 검사에 포함하려는 경우 이러한 암호가 포함된 텍스트 파일을 가져올 수 있습니다. 이 설정에 액세스하려면 창의 오른쪽 상단에 있는 톱니바퀴 아이콘을 클릭합니다.

텍스트 파일을 가져오기 전에 파일의 크기가 10MB 미만이고 파일에서 각 줄에 하나의 암호만 표시되어 있는지 확인합니다.

언어

창 오른쪽 하단에 있는 언어 이름을 클릭하여 WPT 언어를 변경할 수 있습니다.

보안

WPT를 사용하는 동안 액티브 디렉터리(AD) 및 사용자 정보는 안전하게 유지됩니다. 테스트 결과는 테스트 통과에 실패한 사용자 계정과 그 이유만 표시하여 필요한 조치를 취할 수 있도록 합니다.

WPT 실행 중 데이터를 처리하는 방식에 대해서는 아래를 참조하세요.

  • 테스트 중 그 어느 시점에서도 AD의 정보는 절대 KnowBe4로 전송되지 않습니다.
  • AD에서 가져온 데이터는 암호화됩니다.
  • WPT는 AD 사용자 계정의 암호를 표시하지 않습니다.
  • AD의 암호는 해시 형식으로 되어 있으며, 테스트 중에는 해시 형식이 표시되지 않습니다.
  • 테스트 중에 얻은 정보는 디스크가 아닌 로컬 메모리에 저장됩니다.

이 문서가 도움이 되었나요?

19명 중 17명이 도움이 되었다고 했습니다.

원하는 정보를 찾을 수 없나요?

지원 문의하기