강력한 다중인증 보안에도 슬슬 균열이 나타나기 시작한다

다중인증 보안이 강력하다 하지만, 공격자들의 도전정신은 그 강력함을 뛰어넘는다. 최근 세 가지 공격 기법이 공격자들 사이에서 전파되고 있으며, 이미 피해 사례까지 등장하는 중이다. 여전히 유효한 방어 기법이긴 하지만, 조금 더 신중할 필요가 있다.

[보안뉴스 문가용 기자] 보다 강력한 보안 장치가 요구되면서 다중인증이 보편화 되어가는 중이다. 하지만 그러면서 다중인증을 우회하는 방법 역시 퍼지고 있다. 이 때문에 다중인증으로 데이터를 보호하고 있는 기업에서도 자꾸만 데이터 유출 사고가 벌어지고 있다. 이번 주만 해도 비밀번호 관리 업체인 라스트패스(LastPass)가 뚫렸고, 2월 초에는 대형 커뮤니티 레딧(Reddit) 역시 피해자가 되는 신세를 면치 못했다.

[이미지 = utoimage]

그렇다고 다중인증이라는 보호 체계 자체가 무용지물이 된 것은 전혀 아니다. 문자 메시지를 기반으로 한 이중인증이 조금 잘 뚫리는 편이지, 인증 앱이나 하드웨어 키를 활용한 다중인증은 여전히 강력한 인증 장치로 남아 있다. 그럼에도 최근 다중인증 침해가 다시 거론되기 시작한 건 공격자들이 요 근래 세 가지 새로운 기법을 들고 나타났기 때문이다. 바로 1) 다중인증 플러딩(MFA flooding), 2) 프록시 공격(proxy attack), 3) 세션 하이재킹(session hijacking)이다. 순서대로 사용자를 노리는 공격, 네트워크를 노리는 공격, 브라우저를 노리는 공격이라고 할 수 있다.

아이덴티티 보안 전문 업체 오르트의 CEO 맷 콜필드(Matt Caulfield)는 “현재까지 다중인증의 가장 약한 고리는 모바일 폰의 문자메시지인 것으로 밝혀졌고, 공격자들이 실제 이 부분을 가장 많이 두드리고 있다”고 설명한다. “하지만 그 외에도 많은 공격 기법들이 등장하는 중입니다. 다중인증이 튼튼한 보안 도구인 건 맞지만, 어떤 보안 도구나 다 그렇듯, 완벽한 건 아닙니다.”

다중인증 플러딩 / 다중인증 피로 유발
어떤 유형의 사이버 공격자이든 가장 자주 찔러보는 건 ‘사람’이다. 다중인증을 와해시키려는 공격자들도 마찬가지다. 침해 사고의 82%가 사람으로부터 시작하고, 80% 이상의 웹 애플리케이션 침해 사고가 사람이 사용하는 크리덴셜의 침해부터 시작하니, 이를 노리지 않는다면 오히려 이상한 것이라고 볼 수 있다. 다중인증 플러딩 혹은 다중인증 피로 유발이 바로 이런 류의 공격이다.

다중인증으로 피로를 유발한다는 건 무슨 뜻일까? 공격자들이 1차 로그인용 크리덴셜을 가져가서 반복적으로 로그인 시도를 하는 것이다. 그러면 해당 계정과 연결되어 있는 전화로 계속해서 인증 문자가 날아간다. 계속해서 ‘허용’ 버튼을 눌러달라는 식의 문자가 반복적으로 들어와 알람이 울리면 사용자는 피로해진다. 그리고 자기도 모르게 확인도 하지 않고 ‘허용’을 누르게 된다.

비슷한 것으로 ‘계정 재설정 공격’이라는 것도 있다. 기술 지원 인력들을 속여 특정 계정에 접속하는 전략으로, 최근 테이크투 인터랙티브(Take-Two Interactive)의 개발자들이 운영하던 슬랙(Slack) 채널이 이런 식으로 침해됐다. “사용자 크리덴셜을 하나 탈취하고, 이를 활용해 피해자 기업의 IT 담당자인 척 연기를 하면서 여러 직원들에게 접근해 ‘계정의 IT 점검이 필요하니 계정 크리덴셜을 달라’고 요구하는 기법입니다.” 보안 업체 NCC그룹(NCC Group)의 국장 조던 라로즈(Jordan LaRose)의 설명이다.

세션 하이재킹 / 패스더쿠키 공격
사용자가 온라인 계정이나 클라우드 서비스에 로그인을 하고 나면 사용자의 인증 크리덴셜 및 기타 정보들이 포함된 ‘세션 쿠키’라는 것이 생성되며, 사용자가 로그아웃을 할 때까지 보존된다. 그래서 공격자들은 브라우저 캐시에 있는 쿠키들을 죄다 수집하여 악용함으로써 해당 피해자가 된 것처럼 행동할 수 있게 되는데, 이를 세션 하이재킹 혹은 패스더쿠키(pass-the-cookie) 공격이라고 부른다. 이모텟(Emotet)이라는 멀웨어가 이 기능으로 유명하다.

“그 외에 XSS 공격이나 악성 브라우저 플러그인 설치 공격 등을 통해서도 사용자의 세션을 장악할 수 있게 됩니다. 이런 류의 기법의 최종 목적은 사용자가 개설한 세션을 활용함으로써 강력한 로그인 및 인증 장치들을 우회하는 것입니다. 다중인증을 다 통과한 사용자의 세션을 훔치는 데 성공한다면 - 쉽지는 않습니다 - 다중인증도 뚫어내는 결과를 갖게 됩니다.” 라로즈의 설명이다.

프록시 공격 / AitM
사용자 장비와 클라우드 서비스 사이 혹은 사용자 장비와 온라인 사이트 사이에 있는 인프라를 침해하는 공격법도 존재한다. 예를 들어 악성 서버(혹은 미리 침해해 둔 서버)를 활용해 특정 사이트나 서비스의 서버인 것처럼 위장하면, 공격자가 원래의 서버로 보내는 요청을 공격자가 중간에서 가로챌 수 있게 된다. 이를 프록시 공격이라고도 하고 중간자 공격(AitM)이라고도 한다. 이 공격에 성공하면 공격자들이 실시간으로 인증 장치를 침해할 수 있게 된다.

“이 기법은 매우 강력하여, 현존하는 거의 모든 종류의 다중인증을 우회할 수 있습니다. 사용자가 어떤 사이트에 로그인 할 것인지, 어떤 사용자 이름과 비밀번호를 사용할 것인지, 심지어 두세 번째 인증 토큰이 무엇인지를 다 제공해 주는 것이니까요.” 노스캐럴라이나대학의 정보보안책임자인 드류 트럼불(Drew Trumbull)의 설명이다.

방어를 위한 고민들
이런 최신 공격 기법들로부터 조직을 안전하게 지키려면 어떻게 해야 할까? 라로즈는 “피싱 공격에 대한 저항력을 갖추고 있는 다중인증을 도입해야 한다”고 강조한다. “그렇다는 건 뭔가 직접 보유하고 있는 요소를 활용해야 한다는 뜻입니다. 보안 키나 생체 정보를 말하는 것이죠. 이런 건 공격자가 피싱 공격을 통해 가져가고 싶어도 가져가기가 힘듭니다.”

콜필드는 “이론 상 인증을 강력히 하는 방법은 여러 개 존재하지만 현실적으로 도입이 힘들 수 있다”고 경고한다. “예를 들어 물리 키를 활용한 인증 수단을 도입하려면 하드 키를 구매해야 하고, 매번 잊지 않고 지참해야 한다는 불편함을 수반해야 하죠. 심지어 하드웨어 키를 분실했다고 하면 문제가 꽤나 복잡해질 수도 있습니다. 기업 입장에서 관리해야 하는 장비가 늘어나는 게 반가운 것도 아니고요.”

문자 메시지를 통한 인중인증이 가장 약하면서도 가장 인기가 높은 이유도 바로 그 편리함 때문이다. 이메일이나 문자로 두 번째 비밀번호를 받는 것처럼 간편한 것도 찾기 힘들다. “어떤 인증이 강하고 어떤 인증이 약하다는 논의는 어쩌면 아무런 의미가 없는 것인지도 모르겠습니다. 어떤 인증이 편한가가 사용자들에게는 제일 중요할 수 있어요. 강력한 인증 기능을 사용자들이 널리 사용하게 만들고 싶다면 편리하게 만들어주면 됩니다. 그게 가장 현실적인 방법입니다.”

3줄 요약
1. 이제 다중인증도 제법 뚫리는 중.
2. 특히 사용자를 노리고, 네트워크를 노리고 브라우저를 노리는 기법들이 발전함.
3. 하지만 사용자들이 결국 채택하는 건 편리한 기술.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)