Home > 전체기사

다중인증 우회 취약점, 박스 계정 탈취로 이어져

  |  입력 : 2022-01-19 10:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다중인증 메커니즘, 구축 잘못하면 오히려 공격의 통로가 될 수 있어

요약 : 박스(Box)라는 유명 클라우드 서비스가 다중인증 시스템을 잘못 구축하는 바람에 계정 탈취 공격이 발생했다. 이러한 사건은 2021년 11월의 패치로 해결이 되었으며, 공격자들은 로그인 크리덴셜 하나만 있으면 다중인증을 뚫어낼 수 있었다고 한다. 다만 이는 문자 메시지를 기반으로 한 다중인증에 한해서 발생한 사건이다. 문자 기반 다중인증은 그리 안전하지 않다는 경고가 수년 전부터 나왔었다.

[이미지 = utoimage]


배경 : 박스에 로그인을 시도하면, 박스에서 세션 쿠키를 설정하고 사용자들을 새로운 ‘양식’이 있는 페이지로 접속시킨다. 여기서 사용자들은 일회용 비밀번호나 문자메시지로 전송된 코드를 입력해야 한다. 사용자가 문자메시지 기반 다중인증을 활성화시킨 경우, 공격자가 이를 해제하고 일회용 비밀번호로 옵션을 바꾸면 공격이 가능하다. 반대로 처음부터 일회용 비밀번호 인증 옵션이 활성화 되었을 때는 공격이 통하지 않는 것으로 알려져 있다.

말말말 : “다중인증은 보안 전문가들이 많이 권고하는 보안 실천 사항 중 하나입니다. 하지만 이를 어떻게 구축하느냐에 따라 정말로 강력한 방패가 될 수도 있고 또 다른 공격의 통로가 될 수도 있습니다.” -바로니스(Varonis)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)