2021.06.08

이중 인증을 해킹하는 5가지 방법

David Strom | CSO
이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다. 
 
ⓒ Getty Images Bank

다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다. 

점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다. 

코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다. 

S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다. 

최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다. 

MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다.
  • 2021년 5월, 구글은 MFA를 모든 사용자 계정에 대한 기본 보호 기능으로 설정했다. 전 영국 GCHQ 분석가 매트 테이트는 “이런 움직임은 10년 이래 가장 중요한 사이버보안 개선 사항 가운데 하나”라고 평가했다.
  • 2020년 6월, 애플은 iOS 14와 맥OS 빅서(Big Sur)와 함께 제공되는 사파리 14가 안드로이드 및 대부분의 다른 주요 브라우저와 함께 파이도(Fast IDentity Online, FIDO)2 프로토콜을 지원할 것이라고 발표했다. 파이도는 브라우저 다양한 OS 버전과 스마트폰 앱에 배포하기 위해 신중한 연구가 필요하지만, 계속 향상되고 있다. 
  • 이후 미 바이든 대통령은 최근 국가 사이버보안 개선에 대한 행정 명령에서 MFA 배포를 촉구했다. 행정 명령에는 “이 명령을 받은 날로부터 기관은 180일 이내에 미사용 및 전송중인 데이터에 대해 MFA와 암호화 기능을 채택해야 한다”라고 명시되어 있다. 그 마감일은 2021년 8월 중순이다(물론 이 행정 명령에는 훨씬 더 많은 내용이 포함되어 있다). 

그러나 최근의 공격과 사고는 보안 전문가가 이중 및 다중 인증 구현을 위해 더 많은 보호 작업을 수행한다는 것을 보여준다. 


MFA 공격 방법 5가지 

- SMS 기반 MitM(Man-in-the-Middle, 중간자) 공격 
MFA의 가장 큰 문제는 일반적인 구현 방법인 SMS 일회성 비밀번호 사용과 관련이 있다. 

약점은 해커가 사용자의 스마트폰을 해킹해 자신이 제어하는 전화기로 일시적으로 전화번호를 할당할 수 있다는 데 있다. 실제로 일회성 RSA 시큐어ID(RSA SecurID) 하드웨어와 공개 웹 캠을 결합, 악용한 사례가 공개됐다. 극단적인 경우일 수 있지만, SMS 해킹은 MFA 로그인의 전반적인 효용성을 계속 손상시키고 있다. 

이 공격을 수행하는 방법은 여러 가지가 있다. 하나는 휴대폰을 재할당하도록 휴대폰 고객 서비스 담당자에게 뇌물을 주거나 설득하는 것이다. 또 다른 방법은 바이스(Vice)의 기자가 했던 것처럼 상용 서비스를 사용해 자신의 휴대폰 계정에 접근할 수 있는 방법이다. 해당 기자는 16달러를 지불해 자신의 모든 SMS 메시지를 다시 라우팅함으로써 자신의 계정을 해킹하는 것이 얼마나 쉬운지 보여줬다. 

- 공급망 공격 
최근 기억에서 가장 악명높은 소프트웨어 공급망 공격은 솔라윈즈(SolarWinds) 공격이다. 이 공격으로 다양한 코드 구성 요소가 감염됐고, 피해 기업들은 이런 부분이 손상됐음을 알지 못한 채 다운로드했다. 런타임시 소스코드 검사를 포함해 이런 공격을 방지하는 다양한 방법이 있다. 

가트너의 카세이 페네타가 2021년 1월 한 블로그에서 “솔라윈즈 공격은 경보 보안 운영자가 직원이 MFA를 위해 등록된 두 번째 전화기를 원하는 이유가 무엇인지 의문을 가지면서 발견했다는 점을 기억하자. 이는 공격자가 신원, 특히 MFA를 공격 벡터로 활용하려는 것을 의미한다”라고 말했다. 

이 공급망 공격은 지난 4월 코드코브(Codecov)가 자체 배시 업로드 도구에서 발견하는 등 계속되고 있다. 해커는 도커 이미지 보안을 느슨하게 해 인증 자격 증명을 수정했다. 이 도구는 수정된 환경 변수를 코드에 삽입했으며, 이를 추적하는 한 가지 방법은 명령 및 제어 서버의 대상 IP 주소를 추적하는 것이다. 

- 손상된 MFA 인증 워크플로우 우회
MFA의 또 다른 허점은 라이프레이(Liferay) DXP v7.3의 MFA 모듈에 있는 서비스 거부 취약점이다. 최근에 발견된 이 버그는 등록된 모든 사용자가 사용자의 일회용 비밀번호를 수정해 인증할 수 있도록 해 표적이 된 사용자를 잠그는 결과를 초래한다. 그 이후 버그는 수정됐다. 

- 패스더쿠키(Pass-the-cookie) 공격 
이는 쿠키에 인증 세부 정보를 저장하는 브라우저 쿠키와 사이트를 사용하는 또 다른 공격 방법이다. 쿠키는 원래 사용자의 편의를 위해 수행되는 데, 이를 통해 사용자는 애플리케이션에 로그인된 상태를 유지할 수 있다. 해커가 해당 데이터를 추출할 수 있으면, 계정을 탈취할 수 있다.  

- 서버 측 위조(Server-side forgeries) 
MFA 문제만은 아니지만, 최근 역사상 가장 큰 공격은 하프늄(Hafnium)이라는 공격으로 서버 측 위조 및 임의 파일 쓰기 버그를 포함한 일련의 공격을 사용해 마이크로소프트 익스체인지 서버의 모든 인증을 완전히 무효화한다. 이 공격은 익스체인지의 4가지 제로데이 결함과 관련이 있다. 마이크로소프트는 일련의 패치를 발표했다. 


이중 인증을 잘 사용하는 방법 

이런 공격 방법들은 익스플로잇의 일부에 불과하다. 이를 설명한 의미는 MFA가 적절하고 안전하게 수행하기 위해 약간의 주의가 필요하다는 것이다. 451리서치의 베커는 “나쁜 MFA는 값싼 선글라스와 같다. 사이버 보호에 별로 도움이 되지 않는다는 의미다. 그래도 기업에서 이중 인증을 더 자주 사용하지 않는 가장 큰 문제는 사용자 경험이 열악하다는 것이다”라고 말했다. 

베커는 또 다른 문제를 지적했다. “MFA는 여전히 나이트 클럽의 경비원처럼 이분법적인 선택을 한다. 일단 기업 네트워크에 들어가면 원하는 것을 할 수 있으며, 실제로 무엇을 하고 있는지 아무도 모른다. MFA가 효과를 거두기 위해서는 제로트러스트(zero trust)와 지속적인 인증 기술과 결합되어야 한다”라고 말했다. 현재 많은 공급업체가 MFA와 적응형 인증 제품을 결합하고 있지만, 구현은 간단하지 않다. 

계정 복구 옵션은 추가 논의할 가치가 있다. 많은 기업이 일반 계정 로그인에 대해 견고한 MFA 보호 기능을 갖추고 있지만, 사용자가 비밀번호를 잊어버린 경우 SMS 비밀번호를 전송하는 것으로 복구 프로세스가 시작된다. 이를 통해 해커가 네트워크에 침입할 수 있다. 

아카마이(Akamai) 출신의 게르하르트 기스는 지난해 블로그 게시물에서 MFA가 크리덴셜 스터핑(Credential Stuffing)을 항상 방지하지 못한다는 점에 대해 지적했다. 기스는 “IT 관리자는 공격자가 웹서버의 응답을 조사해 유효한 자격 증명을 발견하지 못하도록 인증 워크플로우와 로그인 화면을 재검토하고, 공격자들이 쉽게 처리하지 못하도록 봇 관리 솔루션을 구현해야 한다”라고 경고했다. 

올해 초, 미국 CERT는 피싱 및 브루트 포스 로그인 시도를 포함해 잠재적인 MFA 취약점에 대해 경고를 발표했다. CERT는 계정 복구를 포함한 모든 인증 활동에 MFA를 적용하고 권한있는 접근에 대한 보안을 강화하는 등 다양한 기술을 권고했다. 

MFA 기술은 기업 보안의 중요한 인프라의 일부여야 한다. 지능형 공격과 이와 관련한 정부 및 민간 부문의 전문가들의 주장은 MFA를 도입해야 할 이유를 제공한다. editor@itworld.co.kr 


2021.06.08

이중 인증을 해킹하는 5가지 방법

David Strom | CSO
이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다. 
 
ⓒ Getty Images Bank

다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다. 

점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다. 

코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다. 

S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다. 

최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다. 

MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다.
  • 2021년 5월, 구글은 MFA를 모든 사용자 계정에 대한 기본 보호 기능으로 설정했다. 전 영국 GCHQ 분석가 매트 테이트는 “이런 움직임은 10년 이래 가장 중요한 사이버보안 개선 사항 가운데 하나”라고 평가했다.
  • 2020년 6월, 애플은 iOS 14와 맥OS 빅서(Big Sur)와 함께 제공되는 사파리 14가 안드로이드 및 대부분의 다른 주요 브라우저와 함께 파이도(Fast IDentity Online, FIDO)2 프로토콜을 지원할 것이라고 발표했다. 파이도는 브라우저 다양한 OS 버전과 스마트폰 앱에 배포하기 위해 신중한 연구가 필요하지만, 계속 향상되고 있다. 
  • 이후 미 바이든 대통령은 최근 국가 사이버보안 개선에 대한 행정 명령에서 MFA 배포를 촉구했다. 행정 명령에는 “이 명령을 받은 날로부터 기관은 180일 이내에 미사용 및 전송중인 데이터에 대해 MFA와 암호화 기능을 채택해야 한다”라고 명시되어 있다. 그 마감일은 2021년 8월 중순이다(물론 이 행정 명령에는 훨씬 더 많은 내용이 포함되어 있다). 

그러나 최근의 공격과 사고는 보안 전문가가 이중 및 다중 인증 구현을 위해 더 많은 보호 작업을 수행한다는 것을 보여준다. 


MFA 공격 방법 5가지 

- SMS 기반 MitM(Man-in-the-Middle, 중간자) 공격 
MFA의 가장 큰 문제는 일반적인 구현 방법인 SMS 일회성 비밀번호 사용과 관련이 있다. 

약점은 해커가 사용자의 스마트폰을 해킹해 자신이 제어하는 전화기로 일시적으로 전화번호를 할당할 수 있다는 데 있다. 실제로 일회성 RSA 시큐어ID(RSA SecurID) 하드웨어와 공개 웹 캠을 결합, 악용한 사례가 공개됐다. 극단적인 경우일 수 있지만, SMS 해킹은 MFA 로그인의 전반적인 효용성을 계속 손상시키고 있다. 

이 공격을 수행하는 방법은 여러 가지가 있다. 하나는 휴대폰을 재할당하도록 휴대폰 고객 서비스 담당자에게 뇌물을 주거나 설득하는 것이다. 또 다른 방법은 바이스(Vice)의 기자가 했던 것처럼 상용 서비스를 사용해 자신의 휴대폰 계정에 접근할 수 있는 방법이다. 해당 기자는 16달러를 지불해 자신의 모든 SMS 메시지를 다시 라우팅함으로써 자신의 계정을 해킹하는 것이 얼마나 쉬운지 보여줬다. 

- 공급망 공격 
최근 기억에서 가장 악명높은 소프트웨어 공급망 공격은 솔라윈즈(SolarWinds) 공격이다. 이 공격으로 다양한 코드 구성 요소가 감염됐고, 피해 기업들은 이런 부분이 손상됐음을 알지 못한 채 다운로드했다. 런타임시 소스코드 검사를 포함해 이런 공격을 방지하는 다양한 방법이 있다. 

가트너의 카세이 페네타가 2021년 1월 한 블로그에서 “솔라윈즈 공격은 경보 보안 운영자가 직원이 MFA를 위해 등록된 두 번째 전화기를 원하는 이유가 무엇인지 의문을 가지면서 발견했다는 점을 기억하자. 이는 공격자가 신원, 특히 MFA를 공격 벡터로 활용하려는 것을 의미한다”라고 말했다. 

이 공급망 공격은 지난 4월 코드코브(Codecov)가 자체 배시 업로드 도구에서 발견하는 등 계속되고 있다. 해커는 도커 이미지 보안을 느슨하게 해 인증 자격 증명을 수정했다. 이 도구는 수정된 환경 변수를 코드에 삽입했으며, 이를 추적하는 한 가지 방법은 명령 및 제어 서버의 대상 IP 주소를 추적하는 것이다. 

- 손상된 MFA 인증 워크플로우 우회
MFA의 또 다른 허점은 라이프레이(Liferay) DXP v7.3의 MFA 모듈에 있는 서비스 거부 취약점이다. 최근에 발견된 이 버그는 등록된 모든 사용자가 사용자의 일회용 비밀번호를 수정해 인증할 수 있도록 해 표적이 된 사용자를 잠그는 결과를 초래한다. 그 이후 버그는 수정됐다. 

- 패스더쿠키(Pass-the-cookie) 공격 
이는 쿠키에 인증 세부 정보를 저장하는 브라우저 쿠키와 사이트를 사용하는 또 다른 공격 방법이다. 쿠키는 원래 사용자의 편의를 위해 수행되는 데, 이를 통해 사용자는 애플리케이션에 로그인된 상태를 유지할 수 있다. 해커가 해당 데이터를 추출할 수 있으면, 계정을 탈취할 수 있다.  

- 서버 측 위조(Server-side forgeries) 
MFA 문제만은 아니지만, 최근 역사상 가장 큰 공격은 하프늄(Hafnium)이라는 공격으로 서버 측 위조 및 임의 파일 쓰기 버그를 포함한 일련의 공격을 사용해 마이크로소프트 익스체인지 서버의 모든 인증을 완전히 무효화한다. 이 공격은 익스체인지의 4가지 제로데이 결함과 관련이 있다. 마이크로소프트는 일련의 패치를 발표했다. 


이중 인증을 잘 사용하는 방법 

이런 공격 방법들은 익스플로잇의 일부에 불과하다. 이를 설명한 의미는 MFA가 적절하고 안전하게 수행하기 위해 약간의 주의가 필요하다는 것이다. 451리서치의 베커는 “나쁜 MFA는 값싼 선글라스와 같다. 사이버 보호에 별로 도움이 되지 않는다는 의미다. 그래도 기업에서 이중 인증을 더 자주 사용하지 않는 가장 큰 문제는 사용자 경험이 열악하다는 것이다”라고 말했다. 

베커는 또 다른 문제를 지적했다. “MFA는 여전히 나이트 클럽의 경비원처럼 이분법적인 선택을 한다. 일단 기업 네트워크에 들어가면 원하는 것을 할 수 있으며, 실제로 무엇을 하고 있는지 아무도 모른다. MFA가 효과를 거두기 위해서는 제로트러스트(zero trust)와 지속적인 인증 기술과 결합되어야 한다”라고 말했다. 현재 많은 공급업체가 MFA와 적응형 인증 제품을 결합하고 있지만, 구현은 간단하지 않다. 

계정 복구 옵션은 추가 논의할 가치가 있다. 많은 기업이 일반 계정 로그인에 대해 견고한 MFA 보호 기능을 갖추고 있지만, 사용자가 비밀번호를 잊어버린 경우 SMS 비밀번호를 전송하는 것으로 복구 프로세스가 시작된다. 이를 통해 해커가 네트워크에 침입할 수 있다. 

아카마이(Akamai) 출신의 게르하르트 기스는 지난해 블로그 게시물에서 MFA가 크리덴셜 스터핑(Credential Stuffing)을 항상 방지하지 못한다는 점에 대해 지적했다. 기스는 “IT 관리자는 공격자가 웹서버의 응답을 조사해 유효한 자격 증명을 발견하지 못하도록 인증 워크플로우와 로그인 화면을 재검토하고, 공격자들이 쉽게 처리하지 못하도록 봇 관리 솔루션을 구현해야 한다”라고 경고했다. 

올해 초, 미국 CERT는 피싱 및 브루트 포스 로그인 시도를 포함해 잠재적인 MFA 취약점에 대해 경고를 발표했다. CERT는 계정 복구를 포함한 모든 인증 활동에 MFA를 적용하고 권한있는 접근에 대한 보안을 강화하는 등 다양한 기술을 권고했다. 

MFA 기술은 기업 보안의 중요한 인프라의 일부여야 한다. 지능형 공격과 이와 관련한 정부 및 민간 부문의 전문가들의 주장은 MFA를 도입해야 할 이유를 제공한다. editor@itworld.co.kr 


X