보안

"확산할수록 성공률 높아지는 아이러니" MFA가 뚫리는 과정과 예방하는 방법

David Strom | CSO 2024.08.28
다중요소 인증(Multi-factor Authentication, MFA)의 보안 이점은 잘 알려져 있지만, MFA는 종종 일관성 있게 구현되지 않아 기업 보안 관리자와 사용자를 괴롭히고 있다. 
 
ⓒ Getty Images Bank

사용자는 추가 인증 요소가 워크플로우에 추가된다는 점에서 부담을 느끼곤 한다. 이는 MFA의 지속적인 성공을 가로막는 대표적인 장애물이다. 또한 최근 북한이 후원하는 것으로 알려진 사이버 공격집단이 중소기업의 마이크로소프트 365 설치를 노리고 실시한 스피어 피싱 공격 등 MFA를 우회하는 방법을 설명하는 뉴스가 자주 보도되는 것도 도움이 되지 않는다.

2022년 옥타는 공급망을 감염시키고, 두 번의 공격으로 사용자 자격 증명을 훔치고, 지원 포털을 손상시키기 위해 깃허브 소스 코드를 훔친 일련의 공격에 시달렸다. 인증 솔루션 제공업체로서 이런 사건에서 발생한 일에 대해 투명성을 제공하지 않은 것은 MFA를 제대로 구현하는 것이 얼마나 어려운 일인지 보여준다. 

하지만 암울한 전망만 있는 것은 아니다. 비밀번호 없는 접근 방식의 인기와 정교함 덕분에 MFA는 더욱 사용하기 쉬워졌다. 코로나19 팬데믹 이후 2021년 미국 대통령 바이든의 사이버보안 개선에 관한 행정명령, 구글의 모든 직원에 대한 MFA 의무화, 그리고 가장 최근에는 마이크로소프트의 애저 로그인과 같은 일련의 변화는 IT 운영팀이 인증 방식을 강화하고 모든 애플리케이션에서 포괄적이고 지속적인 인증을 장려하도록 동기를 부여했다. 옥타의 설문조사에 따르면, 일반 사용자의 2/3가 정기적으로 MFA를 사용하고 있으며, 로그인을 보호하는 관리자의 비율은 90%까지 증가했다. 

다만 2,600명의 IT 전문가를 대상으로 한 2023년 노비포(KnowBe4) 설문조사에 따르면 대기업과 중소규모 기업 간의 보안 관행에는 상당한 차이가 존재한다. MFA를 전혀 구현하지 않았다고 답한 대기업 비율은 38%에 그쳤지만, 중소기업은 62%에 달하는 것으로 나타났다. 


주목할 만한 MFA 위협 양상

가장 일반적인 MFA 해킹 기법을 논의하기 전에, 먼저 최근 발생한 몇 가지 주목할 만한 MFA 실패 사례를 살펴보자. 여기서 소개하는 사례는 크게 3가지 양상으로 나뉜다. 
 
  • MFA 피로 또는 푸시 폭격은 2022년 우버에서 발생한 것처럼 사용자가 요청을 승인하고 공격자에게 액세스 권한을 부여할 때까지 인증 요청 SMS 푸시 메시지를 무수히 많이 보내는 수법이다. 아이러니한 점은 기업이 MFA를 많이 사용할수록 MFA 피로도 공격이 성공할 가능성이 높아진다. 시스코 듀오(Cisco Duo)의 제니퍼 골든은 2022년 블로그 게시물에서 MFA 사용이 "공격자가 제어를 우회하도록 유인하는 수준에 도달했다"라고 썼다.
  • 공격자는 소셜 엔지니어링 및 피싱 공격과 결합해 전반적인 인증 워크플로우를 방해하고 사용자를 속여 MFA 토큰을 포기하도록 유도한다. 공격자는 팬데믹으로 인한 원격 접근 증가나 올림픽처럼 사용자 행동 변화를 유발하는 환경을 악용한다. 아틱 울프(Arctic Wolf)는 최근 블로그에서 "MFA 피로 공격과 소셜 엔지니어링을 함께 사용하는 것은 잘못된 신뢰감을 조성하기 때문에 공격에 효과적일 수 있다"라고 썼다. 
  • MFA를 사용하지 않는 사용자와 취약한 비밀번호를 사용하는 애플리케이션을 표적으로 삼는 것 역시 일반적인 공격 수법이다. MFA 도입이 증가하기는 했지만 여전히 보편화되지는 않았으며, 공격자는 보호되지 않는 장소와 사용자를 찾으려고 노력한다. 예를 들어, 몇 년 전 아키라(Akira) 랜섬웨어 공격집단은 MFA가 구성되지 않은 시스코 VPN을 사용해 한 기업에 침투했다. 이 집단은 무차별 대입을 통해 해당 기업의 사용자 자격 증명을 획득했다. 2021년 콜로니얼 파이프라인 공격도 마찬가지다. MFA를 실행하지 않는 레거시 VPN에서 사용되는 단일 비밀번호가 손상돼 발생한 것으로 알려졌다. 2017년 시스코의 경고에도 불구하고 취약한 네트워크 스위치 기능은 여전히 악용되고 있다. 


MFA 공격이 시작되는 곳

MFA 취약점을 완벽하게 치료할 수 있는 방법은 없지만, 최소화할 수는 있다. 어떤 부분에 중점을 둬야 하는지 알아보기 위해 공격자가 MFA 공격을 시작하는 대표적인 방법 3가지를 살펴본다. 
 
  • 열악한 모바일 보안 : 휴대폰은 기업 네트워크의 중요한 관문으로, 공격자는 SIM 스왑과 같은 다양한 방법을 사용한다. 공격자는 통신사의 고객 서비스 직원에게 자신이 합법적인 휴대폰 소유자라고 속인 다음 SMS를 사용하여 인증 메시지에 액세스할 수 있다. 통신사 네트워크 자체를 공격하는 방법도 있다. 
  • 손상된 MFA 인증 워크플로우 : 웹 포털, 스마트폰 앱 또는 API를 통해 애플리케이션에 접속하는 등 최신 인증 워크플로우는 복잡하다. 오늘날 사용자는 로컬 네트워크 또는 VPN을 통해 다양한 운영체제를 실행하는 다양한 엔드포인트로 연결할 수 있다. 공급망 문제와 MFA 코드를 가로채는 중간자 또는 브라우저 공격의 가능성도 커지므로 MFA를 테스트할 때는 다양한 상황을 고려해야 한다. 
  • 손상된 쿠키 공격 : 패스 더 쿠키(Pass-the-Cookie) 및 세션 쿠키 탈취와 같은 손상된 쿠키 공격은 많은 웹사이트에서 세션 비활성 시간제한을 적용하지 않기 때문에 발생한다. 공격자는 이를 통해 탈취한 쿠키를 사용해 MFA를 우회할 수 있다. 


효과적인 MFA 구현 전략

모든 익스플로잇을 고려하면 MFA를 구현할 때는 세심하게 주의를 기울일 필요가 있다. 더 나은 툴셋을 사용할 수 있는 상황에서 수준 이하의 사용자 경험을 제공하는 것은 변명의 여지가 없다. 다음은 성공적인 MFA 구현 전략을 위한 몇 가지 제안 사항이다. 

먼저, 침해로부터 보호하고자 하는 리소스를 파악하라. CISA 팩트 시트에 따르면, 사이버 위협 공격자는 이메일 시스템, 파일 서버, 원격 액세스 시스템을 표적으로 삼아 기업의 데이터에 액세스하고, AD(Active Directory)와 같은 ID 서버를 손상시켜 새 계정을 만들거나 사용자 계정을 제어하려고 시도하는 경우가 많다. 사이버 공격자는 이런 서버를 통해 새 계정을 만들거나 사용자 계정을 제어할 수 있다. 

CISA는 MFA 인증의 첫 번째 수신자에 대해 FIDO 프로토콜을 지원하는 시스템을 고려할 것을 권장한다. 여기에는 가장 민감한 애플리케이션에 하드웨어 키를 사용하는 것이 포함된다. FIDO 얼라이언스(FIDO Alliance)는 기업이 이런 방법을 가장 잘 구현하는 방법에 대한 일련의 백서를 발행했으며, RSA에서도 이 주제를 심층적으로 다룬 만큼 검토해 볼 가치가 있다. 

다음으로, 모든 인증은 위험 기반이어야 하며 사용자가 특정 순간에 수행하는 작업에 따라 자동으로 보안 인증을 요구할 수 있도록 동적으로 설정해야 한다. 로그인 시 단일 액세스 제어를 사용하는 레거시 방식은 그에 맞게 대체해야 한다. MFA를 적응형 인증 프로세스에 결합하는 여러 인증 제품이 시중에 나와 있다. 

이와 함께 접근 권한에 대한 신중한 평가가 이루어져야 한다. 앱노멀 시큐리티(Abnormal Security)는 블로그에서 IT 보안 담당자는 "직원이 업무 수행에 필요한 제한된 데이터에만 액세스할 수 있도록 해야 한다"라고 썼다. 권한에 대한 후속 감사나 축소 조치 없이 액세스 권한이 프로비저닝되는 경우가 너무 많다. 

오래전부터 강조된 것처럼 이런 모든 사항은 전반적인 MFA 워크플로우 분석의 일부가 되어야 한다. 아카마이(Akamai)의 게르하르트 기세는 2021년 블로그에서 MFA가 항상 크리덴셜 스터핑을 막지 못하는 이유에 대해 이야기하면서 "공격자가 일을 더 쉽게 할 수 없도록 IT 관리자는 인증 워크플로우와 로그인 화면을 재검토하고 웹 서버 응답을 통해 유효한 자격 증명을 알아낼 수 없도록 방지하고 봇 관리 솔루션을 구현해야 한다"라고 조언했다. 

비밀번호 재설정 프로세스는 역사적으로 소홀히 여겨지는 부분이다. 이 때문에 일반적인 공격 표적이 된다. 미트닉 시큐리티는 지난 4월 블로그에서 "놀랍게도 2FA 비밀번호 재설정 프로세스에 대한 두 번째 인증 계층이 없거나 MFA를 제공하지만 사용자에게 이를 사용하도록 강제하지 않는 웹사이트가 많다"라고 지적했다. 

마지막으로, 고가치 표적이 될 수 있는 사용자를 평가하고 찾아내야 한다. CISA는 보고서에서 "모든 기업에는 사이버 위협 공격자에게 특히 가치 있는 추가 액세스 권한이나 권한을 가진 소수의 사용자 계정이 있다"라고 말했다. IT 및 시스템 관리자, 직원 변호사, HR 관리자가 여기에 해당한다. MFA 프로젝트의 초기 롤아웃 단계에서 이런 그룹을 고려하라. 

MFA 기술은 기업 보안의 핵심 인프라의 일부가 돼야 한다. 보다 더 지능적인 구현에 더욱 박차를 가해야 할 때다.
ditor@itworld.co.kr
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.