보안

라스트패스 알림 창 악용한 피싱 공격 취약점 드러나

Jeremy Kirk | IDG News Service 2016.01.18
간단한 피싱 공격만으로 인기 비밀번호 관리자인 라스트패스(LastPass)가 뚫릴 수 있다는 연구 결과가 나왔다.

라스트패스 버전 4.0이 표시하는 알림창을 모방해 사용자가 로그인 정보를 입력하게끔 유도하고, 심지어 일회용 비밀번호도 탈취할 수 있다는 것.

슈무콘(Shmoocon) 컨퍼런스에서 이 사실을 발표한 보안 업체 프레시디오(Preasidio)의 CTO 션 카시디는 라스트패스에 이미 보고했다고 밝혔다. 라스트패스는 블로그를 통해서 사용자 몰래 이런 공격이 성공하기 어렵도록 개선했다고 전했다.

카시디는 기트허브(GitHub)에 로스트패스(LostPass)라는 도구를 공개해, 공격자들이 라스트패스의 알림을 모방하고, 결국엔 사용자의 로그인 정보를 탈취해가는 방법을 설명했다.

그는 PoC(proof-of-concept) 공격에서 크롬의 브라우저 확장 기능의 프로토콜처럼 보일 수 있게 chrome-extension.pw라는 도메인을 사용했다.

가짜 로스트패스 알림이 울려서, 이것을 클릭하면 사용자의 로그인 정보를 요구하는 악성 도메인 사이트로 넘어간다. 이중인증을 활성화해둔 상태라면 엑세스 토큰도 탈취당한다. 이 과정에서 피해자의 모든 비밀번호가 라스트패스 API로 수집된다.

흥미로운 부분은 이중 인증을 이용하는 라스트패스 사용자가 이 취약점에 더 위험하다는 것이다.

카시디의 설명에 따르면, 라스트패스는 새로운 IP 주소에서 로그인 시도가 있는 경우, 이메일 알림을 보낸다. 하지만 이 알림은 이중인증이 활성화되지 않은 사용자에게만 해당되기 때문에, 이 사용자들은 의심스러운 로그인 시도를 알 수 없다.

라스트패스는 알림 방식을 바꿔서 이중 인증을 사용하는 사람들도 새로운 장소나 디바이스에서 로그인 시도가 있을 경우 이메일 알림을 받을 수 있도록 했다.

카시디는 그의 연구가 소프트웨어의 피싱 공격 저항력을 높이는 것이 얼마나 필요한지 보여준다고 이야기했다. 그는 “피싱 공격 방지로 많이 거론되는 것이 ‘사용자 교육’이다. 그러나 교육은 로스트패스 같은 사례에서 결코 좋은 방법이 아니다. 최종 사용자가 식별하기 어려울 정도로 똑같기 때문이다”라고 설명했다.

이어서, “로스트패스의 상세 사항을 공개하면 아마 하루도 안 돼서 범죄자들이 자신의 방식으로 만들어 낼 것이다. 하지만 공개한 툴로 기업들이 직접 테스트해보고 보안이 필요한지 아닌지를 알 수 있을 것”이라고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.