Windows 로그인 무차별 공격(브루트 포스 공격) 확인 방법

Windows 시스템에서 로그인 무차별 공격(브루트 포스 공격) 시도를 확인하려면 이벤트 뷰어(Event Viewer)와 보안 로그를 사용하여 특정 이벤트를 추적하는 방법이 있습니다. 다음은 이러한 공격 시도를 확인하는 일반적인 방법입니다.

1. 이벤트 뷰어를 사용하여 로그인 실패 확인

1) 이벤트 뷰어 열기: Windows + R 키를 누르고 eventvwr를 입력하여 이벤트 뷰어를 실행합니다.

보안 로그 확인: 왼쪽 패널에서 Windows 로그 > 보안으로 이동합니다.

로그인 실패 이벤트 필터링:

• 오른쪽 패널에서 Filter Current Log를 선택합니다.
• Event ID에 4625,4771를 입력하고 확인을 클릭합니다. 이 이벤트는 로그인 실패를 나타냅니다.

2. 이벤트 ID 별 확인

• Event ID 4625: 잘못된 암호로 인한 로그인 실패 시도입니다. 다수의 4625 이벤트가 기록되어 있다면 무차별 공격을 의심할 수 있습니다.
• Event ID 4771: Kerberos 인증 실패를 나타냅니다. Kerberos를 사용한 인증에서 문제가 발생했을 때 유용합니다.

3. PowerShell로 이벤트 로그 확인

PowerShell을 사용하여 특정 이벤트를 필터링하여 로그를 분석할 수도 있습니다.

예를 들어, 4625 이벤트 로그를 추출하려면 다음 명령을 사용할 수 있습니다:

Get-EventLog -LogName Security | Where-Object { $_.EventID -eq 4625 }

또는 특정 기간 동안 이벤트를 추출하려면 다음과 같이 사용할 수 있습니다.

Get-EventLog -LogName Security -After (Get-Date).AddDays(-1) | Where-Object { $_.EventID -eq 4625 }

4. 계정 잠금 확인

• 다수의 로그인 실패 시도가 있을 경우, 보안 설정에 따라 계정이 잠길 수 있습니다.
• Event ID 4740은 계정 잠금을 나타내며, 무차별 공격으로 인해 계정이 잠겼는지 확인할 수 있습니다.

5. 침입 방지를 위한 대처 방법

• 계정 잠금 정책 설정: 로그인 실패 시 계정을 일정 시간 잠그도록 설정하여 브루트 포스 공격을 방지할 수 있습니다.
• 방화벽 또는 침입 방지 시스템 사용: 공격 IP를 차단하는 추가 보안 조치를 적용하는 것이 좋습니다.

이와 같은 방법으로 로그인 시도 기록을 검토하고 무차별 공격 시도를 확인할 수 있습니다.

Windows 계정 잠금 정책 설정 방법