벽의 균열 찾기 - MFA를 우회하는 최신 사기 수법

이제 피해자는 피싱 웹사이트로 연결되어 있지만, 사기임을 알지 못합니다. 피해자가 OTP 토큰을 피싱 웹사이트에 흔쾌히 제공하고 공격자들은 이를 이용해 피해자의 계정을 탈취할 수 있게 됩니다.

OTP를 우회하는 고용량 피싱 사기는 Akamai 위협 연구팀이 최근 발견했습니다. 이 캠페인은 7000여 개의 피싱 도메인을 보유하고 있는 8개의 영국 은행을 공략했습니다. 백엔드 관리 작업과 관련이 있어, 대상 은행의 접속 흐름에 OTP 토큰이 필요할 때마다 토큰을 수동으로 활성화했습니다.

SIM 스와핑

OTP 도용만큼 빈번하게 일어나지는 않지만, 또 다른 기법에는 SIM 하이재킹이라고도 불리는 휴대 전화 SIM 스와핑이 있습니다. 이 기법은 주로 보다 정교한 표적 사기에 사용됩니다. 사용자의 로그인 인증정보와 연결된 전화번호의 소유권을 공격자의 SIM으로 바꾸어 사기를 실행하는 것입니다. 스와핑이 성공하면 스와핑된 전화번호로 전달되는 모든 통신 및 인증(음성 통화 또는 SMS 메시지 등)을 가로챌 수 있습니다.

SIM 스와핑 사기에 성공하려면 서비스 사업자가 소유권 변경을 요청한 공격자를 전화번호 소유자로 확인해야 합니다. 이러한 종류의 소유권 변경은 주로 사회 보장 번호, 생년월일 또는 주소 등 대상 전화번호 소유자의 개인 정보를 공격자가 미리 알고 있어야 합니다.

영국 NCA(National Crime Agency)가 유명 연예인, 음악가, 소셜 미디어 인플루언서를 대상으로 한 최근 SIM 스와핑 공격 캠페인에 대해 보고했습니다. NCA는 다른 기관들과 협력을 통해 영국의 범죄자 네트워크를 적발했습니다. 이 범죄자 집단은 피해자의 전화번호를 얻고 비밀번호를 변경해 애플리케이션이나 계정을 제어하기 위해 함께 협력 중이었습니다.

레거시 인증 API를 사용한 MFA 우회

MFA를 우회하는 또 다른 접근 방식은 프런트도어 보안이 강력한 경우 백도어를 통해 들어가는 것입니다. 많은 경우, 인증 솔루션을 업그레이드하고 MFA 인증을 도입하는 과정에서 MFA 솔루션과 호환되지 않는 애플리케이션의 비즈니스 연속성을 보장하기 위해 레거시 접속 솔루션이 고의적으로 또는 뜻하지 않게 그대로 유지될 수 있습니다.

OTP 토큰 도용과 관련된 문제를 피하려는 공격자들은 레거시 API를 찾아 인증정보 도용 캠페인 같은 공격을 개시함으로써 이를 악용합니다. 이러한 캠페인에서는 일반적으로 데이터 유출로 인해 유출된 인증정보를 활용하기 때문에 공격자는 동일한 인증정보로 접속되는 계정을 찾기 위해 인증정보를 인터넷 전체에 배포해 감염된 계정을 쉽게 수집할 수 있습니다.

푸시 알림 인증 우회

최근 몇 년 동안 모바일 푸시 알림 기술이 도입되어 MFA 인증 경험이 보다 쉽고 안전해졌습니다. 모바일 디바이스 푸시 알림 메커니즘을 사용하면 전반적인 사용자 경험이 개선되므로 MFA 기술의 도입률이 높아집니다. 하지만 모바일 푸시 알림과 함께 MFA를 사용한다고 해서 OTP 토큰 도용 시나리오와 유사한 피싱 사기를 예방할 수는 없습니다. 도난된 인증정보를 사용해 만든 허위 푸시 알림을 승인하면 공격자에게 계정에 대한 모든 접속 권한을 부여하게 됩니다.

또한 푸시 알림 인증 구축은 모바일 디바이스에 대한 제스처 기반의 알림으로서, OTP 코드를 접속한 웹사이트에 복사하지 않고 최소한의 사용자 개입만 요구하므로 사용자 인증 프로세스를 악용할 기회가 증가합니다. 이에 대한 가장 좋은 예는 공격자가 감염된 인증정보를 사용해 접속되는 계정을 찾기 위해 인터넷 전반에 공격을 실행하는 크리덴셜 스터핑 크리덴셜 스터핑 입니다. 2차 인증으로 푸시 알림을 포함하는 웹사이트에 대한 공격에서 도난된 인증정보를 사용해 인증에 성공하면 해당 사용자에게 푸시 알림이 전송됩니다. 휴대 전화로 전송된 알림을 실수나 습관적으로 승인하는 사용자는 사기에 직접 참여하지 않고도 계정 인증정보를 감염시킬 수 있습니다.

푸시 알림 제한을 악용한 공격의 예로는 2020년 소셜 엔지니어링 공격을 통해 Twitter 직원의 VPN 계정을 감염시킨 Twitter 해킹이 있습니다. 해커는 내부 애플리케이션에 접속한 후에 정치인, 유명 인사, 기업가의 Twitter 계정뿐만 아니라 여러 암호 화폐 회사의 계정도 탈취할 수 있었습니다. 

Twitter 보안 인시던트를 자세히 기술한 보고서 에 따르면 "MFA는 매우 중요하지만, 모든 MFA 방법이 동일하게 만들어지는 것은 아닙니다. Twitter는 직원의 스마트폰에 인증 요청을 보내는 애플리케이션 기반의 MFA를 사용했습니다. 일반적인 MFA의 한 형태지만, 우회할 수 있습니다. 해커는 Twitter 해킹이 진행되는 동안 Twitter 직원이 로그인 중에 애플리케이션 기반의 MFA를 인증하도록 유도해 MFA를 통과했습니다."   

균열 봉합

MFA 솔루션을 사용하면 사용자와 기업의 보안 체계가 강화되기는 하지만, 일부 MFA 기술은 계정을 감염시키는 사기를 완전히 차단하지 못한다는 점을 알아야 합니다. 개인에게 좋지 않은 소식이고, 기업에는 심각한 결과를 초래할 수 있습니다. 한 명의 직원이 불법 MFA 푸시를 수락하기만 하면 공격자가 전체 계정에 접속할 수 있습니다. 

계정을 감염시키는 공격의 리스크를 줄이기 위해 계정을 탈취 공격으로부터 보호하면서 인증 프로세스를 강화하는 멀티레이어 보안 인증 전략을 도입하는 것을 권장합니다.

인증 전략에서는 클라이언트와 서버, 양쪽의 방어 기능을 모두 고려해야 합니다. 클라이언트 인증 프런트엔드에서 전략은 강력한 암호화를 통해 연결된 디바이스의 유효성을 확인하는 인증을 도입해, 도용된 인증정보와 토큰이 인증되지 않은 디바이스에서 사용되는 옵션을 없애야 합니다.

FIDO2 프로토콜은 이러한 문제를 해결하고, 피싱, 모든 형태의 비밀번호 도용 및 재생 공격의 리스크를 제거하는 동시에 사용 편의성과 확장성을 지원하는 기술을 규제하는 이니셔티브입니다. FIDO2 프로토콜 기반 기술은 모든 웹사이트에서 고유하고, 사용자의 디바이스를 떠나지 않으며, 서버에 저장되지 않는 암호화 로그인 인증정보를 사용하도록 보장합니다. FIDO2는 이미 주요 브라우저에서 지원되며, 브라우저에서 간단한 JavaScript API 호출을 통해 통합될 수 있습니다.

서버 측에서, 비정상적인 접속, 압도적인 인증정보 도용 공격, 계정 탈취로부터 웹 애플리케이션을 보호하는 기술이 사용자 인증에 대한 보완 방어 레이어로서 도움이 되고 계정 감염 리스크를 줄일 수 있습니다. 

인증은 보안의 기본 기능이며 관련 기술의 혁신은 계속될 것입니다. 이와 동시에 보안 공격자들은 방어벽의 균열을 찾아 인증 서비스를 악용하고 우회하는 방법을 모색할 것입니다. 균열을 봉인하고 완벽한 보안을 유지하기 위해 새로운 위협에 노출될 가능성을 줄이는 기술 아키텍처와 솔루션을 도입해 해커보다 한 발 앞서 공격을 막아내는 것이 Akamai의 임무입니다.

Akamai의 MFA 솔루션한 자세한 사항은 https://www.akamai.com/ko/products/akamai-mfa에서 확인하세요.