세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
이중인증 해킹 방법 공개되며 난공불락의 방법 없음 시사
  |  입력 : 2018-05-11 12:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이블징크스라는 화이트 햇 해커 개발 툴 사용한 피싱 공격
세션 쿠키 훔친 후 브라우저에 붙여 넣고 새로고침...영상 통해 공개


[보안뉴스 문가용 기자] 비밀번호가 힘없이 뚫리는 일이 빈번하게 발생하기 시작하면서 보안 전문가들은 조직들과 일반 사용자들에게 “이중인증 옵션을 사용하라”고 권장해왔다. 로그인을 기반으로 한 보안 체계에 있어 이중인증은 올바른 길이요, 참다운 답인 것처럼 말이다. 하지만 이중인증이라고 철통보안을 약속하는 건 아니라는 사실이 밝혀졌다.

[이미지 = iclickart]


보안 업체 노비포(KnowBe4)의 수석 해킹 연구원인 케빈 미트닉(Kevin Mitnick)은 “피싱 공격을 통해 이중인증으로 보호되어 있는 계정을 침해하는 데 성공했다”고 발표했다. 케빈 미트닉은 화이트 해커라고 알려진 쿠바 그레츠키(Kuba Gretzky)가 개발한 툴인 이블징크스(evilginx)를 사용했다고 한다.

“최초 공격은 ‘타이포스쿼팅(typosquatting)’입니다. 표적이 된 오리지널 웹사이트의 URL과 매우 비슷한 URL로 똑같은 웹사이트를 만들고, 누군가 URL을 잘못 입력하기를 기다리는 공격 기법이죠.” 혹은 비슷해 보이는 철자를 통해 사용자를 유혹하는 것도 타이포스쿼팅에 포함된다.

미트닉은 시연 영상을 통해 제일 먼저 링크드인에서 보낸 것처럼 보이는 가짜 이메일을 사용하는 것을 보여줬다. 다만 이 경우 도메인이 llnked.com으로 원래 링크드인과 비슷해 보이지만 다르다.

누군가 이 이메일을 보고 링크드인 이메일인 걸로 착각해 메일을 열면, 그 안에 있는 악성 링크를 클릭할 가능성이 높다. 당연히 악성 링크다. 사용자들을 로그인 페이지로 연결시키며, 여기서 사용자 이름과 비밀번호를 의심 없이 입력하게 된다. 이 정보를 입력하면 모바일 기기로 인증코드가 전송되는데, 사용자는 이것 역시 의심하지 않고 입력한다. 공격자는 다른 창에서 이 정보들을 모두 볼 수 있다.

그런데 1회용인 인증코드는 얻어내서 뭘 할까? “저희가 얻어내려는 건 실제의 여섯 자리 코드가 아닙니다. 어차피 이 코드는 1회용이기 때문에 재활용할 수도 없고요. 저희가 가로채고자 하는 건 세션 쿠키죠.” 미트닉의 설명이다.

세션 쿠키를 가로채는 것에 성공하면 사용자 이름과 비밀번호, 이중인증용 코드도 필요 없어진다. “세션 쿠키만 있으면 계정에 접근 가능하게 됩니다. 브라우저에 세션 키를 입력하면 되거든요. 훔친 세션 쿠키를 개발자 툴(Developer Tools)에 붙여 넣고, 새로고침을 실시하면 끝입니다.”

이중인증 시스템이 해킹된 건 이번이 처음이 아니다. 노비포의 CEO인 스튜 슈베르만(Stu Sjouwerman)은 “사실, 이중인증을 우회하거나 깨는 방법은 이미 10가지 이상 나왔다”고 말한다. “그러나 이를 굳이 알리려 하지 않죠. 공격자들 입장에서야 자기들 공격 통로를 알릴 필요가 없고, 보안 업계 입장에서는 이중인증을 홍보해야 하거든요.”

그렇기에 아직까지 이중인증을 해킹하는 방법은 컨퍼런스나 학술 대회에서만 살짝 공개되는 것이 거의 전부다. 미트닉은 예외적으로 이번 해킹 방법을 영상으로 공개했는데, “최대한 많은 사람들에게 알리기 위해서”라고 한다. “이 공격법은 거의 모든 사이트에서 적용되는데, 공격자가 코드를 조금씩 바꾸긴 해야 할 겁니다.”

그러나 그 코드 변경이 쉽지만은 않을 것이라고 미트닉은 설명한다. “고급 기술을 가진 해커들만이 가능합니다. 또한 사이트마다 다른 코드가 적용되어야 하기 때문에 대규모 공격도 어렵게 됩니다. 한 번에 한 사이트만 공격할 수 있죠.”

미트닉은 “사용자 보호를 위해 필요한 건 만능 보안 솔루션이 아니”라고 강조한다. “그런 건 있을 수도 없고, 만능에 가까울수록 불편함이 극대화될 겁니다. 중요한 건 사용자 스스로가 최대한 위험 요소들을 인지하고 방어하는 것입니다. 타이핑 오류를 살피고, 아무 페이지에서나 로그인을 시도하지 않는 등의 습관이 자리 잡혀 있어야 하죠.”

슈베르만은 “제발 직원들 대상으로 파워포인트 보안 교육 좀 하지 말라”고 외쳤다. “교육만 하면 프레젠테이션 화면을 켜니, 다들 자동으로 공상을 시작하고 졸음을 반기는 겁니다. 사용자가 말을 안 듣는 게 아니라, 우리가 못 듣게 하는 거 아닌지 생각해볼 필요가 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)