주식회사 누리아이티

정보자산의 보안강화를 위한 2차인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

▶ BaroSolution/기술문서

2차 인증의 우회 기술을 방어할 수 있는 방안(2 Factor 인증 + 중간자 공격 방어)

누리아이티 2022. 12. 29. 10:03

 

2023년 전망하는 해커의 주요 공격 유형 5가지 중 하나인 피싱, 단순 피싱 페이지 사용에서 벗어나 클라이언트 요청을 대신 받아 내부 서버로 전달해 주는 리버스 프록시(Reverse Proxy) 기술 적용하여 2차 인증(추가인증) 수단인 다중인증(MFA, Multi Factor Authentication)까지 우회할 수 있는 형태 및 침해 사고에 자주 사용되는 매우 효과적인 방법으로 다중인증에 대한 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"이 크게 증가하는 것로 발전할 것으로 전망한다.

회사 임직원이 피싱 메일에 첨부된 링크에 접속해 ID/PW를 입력했다면 탐지할 수 있을까?

악성코드 공격이 어려워진다면 공격자들은 피싱 공격을 가장 많이 사용할 것으로 예상된다.

이미 시장에는 github, facebook 등 해외 유명 서비스의 계정을 탈취할 수 있는 다양한 PhaaS(Phishing as a Service)가 판매되고 있다. 

이러한 서비스들은 단순 피싱 페이지를 사용하던 과거의 방식에서 벗어나 리버스 프록시와 같은 기술을 적용함으로써 OTP(One-Time Password) 등 추가인증 수단(MFA)까지 우회할 수 있는 형태로 발전하고 있다.

현재 많은 기업들이 다중인증(MFA)을 매우 안전하다고 생각하며, 인증의 유일한 수단으로 적용하고 있다. 

하지만 공격자들은 다중인증(MFA)을 우회하기 위한 연구를 활발하게 진행하고 있으며, 리버스 프록시 기반의 이메일 피싱, 보이스 피싱, SIM 하이재킹(SIM 스와핑) 등 다양한 우회 기술들을 개발하고 있다. 

현재까지 PhaaS 서비스들도 아직은 유명 사이트를 대상으로 피싱 서비스를 제공하고 있지만, 머지 않은 미래에 일반 기업으로 공격 영역이 확대될 수 있다.

 


로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격(Man-in-the-middle attack)을 방어할 수 있는지?

또한, 모바일 문자 메시지로 인증코드를 전송 했을 때 발생하는 심스와핑(SIM-swapping) 공격을 방어할 수 있는지?

 

공격자는 SIM 스와핑(SIM 하이재킹)을 통해 이동통신사 직원을 속이거나 뇌물을 주어 자신이 제어하는 SIM 카드에 번호를 다시 할당해 공격자가 타킷의 휴대전화 번호를 제어할 수 있다.

 

이를 통해 공격자는 피해자의 전회번호를 제어하고 SMS 기반의 다중인증(MFA)을 우회하거나, 크리덴셜을 도용하거나, 피해자의 온라인 계정으로 로그인하여 암호를 변경하여 온라인 계정을 탈취할 수 있다.


처음부터 완전한 보안 시스템은 없다.

간단한 구성에서 시작해 더 복잡한 보안 시스템으로 진화하는 것이 중요하다.

느슨한 결합으로 이뤄진 플러그인 가능한 인증모듈(PAM, Pluggable Authentication Module) 기반 아키텍처는 예상치 못한 스파이크가 발생했을 때에도 유연하게 대응할 수 있고 자연스런 스케일링도 가능하다.

이런 아키텍처가 더 쉽게 진화할 수 있다.

다중인증(MFA)은 최소 두 가지 이상의 본인인증 요소를 이용하여 본인 여부를 인증하는 것으로 2차 인증은 다중인증(MFA)의 일종이다.

랩서스가 전세계적으로 알려진 건 올해 2월 삼성전자, LG전자, 마이크로소프트(MS), 엔비디아 등 글로벌 기업들을 잇따라 해킹해 내부 정보를 유출하면서다.

이들은 글로벌 기업 내부 시스템에 접근할 때 가상사설망(VPN)과 2차 인증(추가 인증) 등 보안시스템을 우회해 주목을 받았다. 랩서스는 실제로 MS를 해킹할 때 직원들의 VPN 계정을 통해 접속할 수 있었으며, 접속 당시 누구도 알아채지 못했다고 주장했다. 또 계정 접속 후 2번이나 2차 인증을 다시 등록할 수 있었다고 밝혔다. 랩서스는 또 2차 인증(추가 인증)을 우회하기 위해 안내창구 연락, 직원 메일 계정 접근, 내부 직원 또는 관계자로부터 자격증명 구매 등과 같은 다양한 전략을 시도하는 것으로 드러났다.

또한, 개발자의 다수가 아직도 2차 인증과 같은 기본적인 보안 장치들을 활용하지 않는다는 것도 지적되고 있다. "하지만 이 부분에 있어서는 문화가 가시적으로 변하는 중이다. 여러 오픈소스 소프트웨어 패키지 생태계들에서 일정 규모 이상의 프로젝트에서는 2차 인증을 필수로 구축하라고 요구하고 있기 때문이다. 수년 안에 2차 인증이 모든 사람의 기본이 될 수 있을 거라고 본다."

우버 해킹 사건으로 2차 인증에 대한 기본적인 오해가 드러났다. "분명 2차 인증은 보안 장치를 겹겹이 쌓는 데에 있어 중요한 부분을 차지하는 요소이다. 하지만 문제는 2차 인증 안에서도 여러 가지 기술들이 존재하고, 보안성이 각기 다르다는 것이다. 강력한 2차 인증이 있고 비교적 약한 2차 인증이 있다. 즉 2차 인증을 도입했다는 것이 아니라 어떤 2차 인증을 도입했느냐가 문제라는 것이다.

2차 인증은 정보자산의 보안 강화를 위하여 로그인-ID 및 비밀번호(지식기반 인증) 이외에 별도의 추가인증(소유기반/속성기반/행위기반/장소기반 인증)절차를 의미하며, 2 Factor 인증과 2 Channel 인증으로 구분한다.

 


2차 인증 중 2 Channel 인증이 2 Factor 인증 보다 보안성은 강하나 통신망을 사용하기 때문에 보안지역이나 비번하게 발생하는 통신장애에 영향을 받아서 서비스가 중단되는 상황이 발생한다.

특히, 우리가 흔히 접하고 있는 Naver, 통신사 Pass가 대표적으로 적용하고 있는 2 Channel 인증은 스마트 폰의 심 스와핑으로 인하여 중간자 공격, 피싱 키트의 피싱 공격, 크리덴셜 스터핑, 클라우드 재킹, 멜웨어나 피싱, 스팸 메시지, 해킹, 사이버 공격 등에 취약하여 사이버 범죄에 악용된다는 것이다.

우버 해킹 사건을 통해서 중간자 공격에 취약한 2 Channel 인증을 채택했다는 점에서 우버의 실수를 지적하며, 2차 인증 도입 시 2 Channel 인증 보다는 중간자 공격에 강력한 2 Factor 인증을 선택하는 게 중요하다. 

2차 인증 솔루션인 BaroPAM은 초창기에 서비스 채널과 인증 채널이 분리된 2 Channel 인증을 적용하였는데, 장애 및 사이버 범죄에 취약한 점이 파악되어 2 Channel 인증을 포기하고 서비스 채널과 인증 채널이 하나로 결합된 2 Factor 인증이 적용되어 있다.

결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건.