Home > 전체기사
이중인증 해킹 방법 공개되며 난공불락의 방법 없음 시사
  |  입력 : 2018-05-11 12:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이블징크스라는 화이트 햇 해커 개발 툴 사용한 피싱 공격
세션 쿠키 훔친 후 브라우저에 붙여 넣고 새로고침...영상 통해 공개


[보안뉴스 문가용 기자] 비밀번호가 힘없이 뚫리는 일이 빈번하게 발생하기 시작하면서 보안 전문가들은 조직들과 일반 사용자들에게 “이중인증 옵션을 사용하라”고 권장해왔다. 로그인을 기반으로 한 보안 체계에 있어 이중인증은 올바른 길이요, 참다운 답인 것처럼 말이다. 하지만 이중인증이라고 철통보안을 약속하는 건 아니라는 사실이 밝혀졌다.

[이미지 = iclickart]


보안 업체 노비포(KnowBe4)의 수석 해킹 연구원인 케빈 미트닉(Kevin Mitnick)은 “피싱 공격을 통해 이중인증으로 보호되어 있는 계정을 침해하는 데 성공했다”고 발표했다. 케빈 미트닉은 화이트 해커라고 알려진 쿠바 그레츠키(Kuba Gretzky)가 개발한 툴인 이블징크스(evilginx)를 사용했다고 한다.

“최초 공격은 ‘타이포스쿼팅(typosquatting)’입니다. 표적이 된 오리지널 웹사이트의 URL과 매우 비슷한 URL로 똑같은 웹사이트를 만들고, 누군가 URL을 잘못 입력하기를 기다리는 공격 기법이죠.” 혹은 비슷해 보이는 철자를 통해 사용자를 유혹하는 것도 타이포스쿼팅에 포함된다.

미트닉은 시연 영상을 통해 제일 먼저 링크드인에서 보낸 것처럼 보이는 가짜 이메일을 사용하는 것을 보여줬다. 다만 이 경우 도메인이 llnked.com으로 원래 링크드인과 비슷해 보이지만 다르다.

누군가 이 이메일을 보고 링크드인 이메일인 걸로 착각해 메일을 열면, 그 안에 있는 악성 링크를 클릭할 가능성이 높다. 당연히 악성 링크다. 사용자들을 로그인 페이지로 연결시키며, 여기서 사용자 이름과 비밀번호를 의심 없이 입력하게 된다. 이 정보를 입력하면 모바일 기기로 인증코드가 전송되는데, 사용자는 이것 역시 의심하지 않고 입력한다. 공격자는 다른 창에서 이 정보들을 모두 볼 수 있다.

그런데 1회용인 인증코드는 얻어내서 뭘 할까? “저희가 얻어내려는 건 실제의 여섯 자리 코드가 아닙니다. 어차피 이 코드는 1회용이기 때문에 재활용할 수도 없고요. 저희가 가로채고자 하는 건 세션 쿠키죠.” 미트닉의 설명이다.

세션 쿠키를 가로채는 것에 성공하면 사용자 이름과 비밀번호, 이중인증용 코드도 필요 없어진다. “세션 쿠키만 있으면 계정에 접근 가능하게 됩니다. 브라우저에 세션 키를 입력하면 되거든요. 훔친 세션 쿠키를 개발자 툴(Developer Tools)에 붙여 넣고, 새로고침을 실시하면 끝입니다.”

이중인증 시스템이 해킹된 건 이번이 처음이 아니다. 노비포의 CEO인 스튜 슈베르만(Stu Sjouwerman)은 “사실, 이중인증을 우회하거나 깨는 방법은 이미 10가지 이상 나왔다”고 말한다. “그러나 이를 굳이 알리려 하지 않죠. 공격자들 입장에서야 자기들 공격 통로를 알릴 필요가 없고, 보안 업계 입장에서는 이중인증을 홍보해야 하거든요.”

그렇기에 아직까지 이중인증을 해킹하는 방법은 컨퍼런스나 학술 대회에서만 살짝 공개되는 것이 거의 전부다. 미트닉은 예외적으로 이번 해킹 방법을 영상으로 공개했는데, “최대한 많은 사람들에게 알리기 위해서”라고 한다. “이 공격법은 거의 모든 사이트에서 적용되는데, 공격자가 코드를 조금씩 바꾸긴 해야 할 겁니다.”

그러나 그 코드 변경이 쉽지만은 않을 것이라고 미트닉은 설명한다. “고급 기술을 가진 해커들만이 가능합니다. 또한 사이트마다 다른 코드가 적용되어야 하기 때문에 대규모 공격도 어렵게 됩니다. 한 번에 한 사이트만 공격할 수 있죠.”

미트닉은 “사용자 보호를 위해 필요한 건 만능 보안 솔루션이 아니”라고 강조한다. “그런 건 있을 수도 없고, 만능에 가까울수록 불편함이 극대화될 겁니다. 중요한 건 사용자 스스로가 최대한 위험 요소들을 인지하고 방어하는 것입니다. 타이핑 오류를 살피고, 아무 페이지에서나 로그인을 시도하지 않는 등의 습관이 자리 잡혀 있어야 하죠.”

슈베르만은 “제발 직원들 대상으로 파워포인트 보안 교육 좀 하지 말라”고 외쳤다. “교육만 하면 프레젠테이션 화면을 켜니, 다들 자동으로 공상을 시작하고 졸음을 반기는 겁니다. 사용자가 말을 안 듣는 게 아니라, 우리가 못 듣게 하는 거 아닌지 생각해볼 필요가 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향