전체메뉴

[애플경제 이지향 기자] 해커들이 즐겨 쓰는 수법 중 하나는 다중 인증(MFA)을 우회하는 것이다. 이를 위해 중간자 공격(AiTM) 기술 등의 전술을 사용, MFA와 같은 보안 계층을 우회할 수 있다. AiTM 공격은 사이버 범죄자가 두 당사자 간의 통신을 가로채서 민감한 데이터를 훔치는 중간자 공격(MiTM) 기술의 진화 형태다. AiTM 공격에서 적대자는 단순히 메시지를 전달하는 것이 아니라 메시지를 수정, 통신을 적극적으로 방해할 수도 있다. 이를 통해 원활한 MFA 우회가 가능해지는 것이다.

해커들, 프록시 서버 설정, 자격증명 가로채

이스트시큐리티, 파이오링크, 이글루코퍼레이션 등 주요 국내 보안업체들에 의하면 이 경우 공격자는 사용자와 합법적인 아키텍처 간에 프록시 서버를 원활하게 설정할 수도 있다. 그 결과 “통상적인 보안 조치를 우회, 실시간으로 인증 토큰이나 자격 증명을 가로챌 수 있으며, 경보를 울리지 않고도 가로챌 수 있다”는 것이다.

MFA가 점점 더 필수적인 보안 제어가 되는 시기에 AiTM을 사용하여 이를 우회하는 것은 큰 우려를 낳고 있다. 그렇다면 AiTM과 같은 공격을 사용하여 MFA를 우회하는 수법을 파악하고 이에 적절한 대응책을 마련해야 한다는게 보안 전문가들의 조언이다.

국내 보안업계에 따르면 현재 해커들 사이엔 MFA를 우회하기 위해 3가지의 대표적인 공격 수법이 있는 것으로 전해진다. 첫 번째는 전송 중인 사용자의 MFA 키를 가로채는 AiTM 키트다. 예를 들어 ‘Evilginx’와 같은 오픈 소스 피싱 키트를 사용, 피싱 사이트를 통해 사용자의 패스키를 가로채어 인증을 우회한다.

이를 통해 피해자의 트래픽을 합법적인 로그인 페이지로 전달하는 ‘역방향 투명 프록시’라는 수법을 구사한다. 이스트시큐리티의 한 관계자는 “그러면 사용자는 로그인하고 있다고 착각하지만, 실제로는 비밀번호와 MFA 토큰을 모두 공격자에게 전달하고, 공격자는 이러한 자격 증명을 악용해 액세스할 수 있게 된다”고 경고했다.

해커들 간에 요즘 가장 인기 있는 AiTM 키트는 ‘Tycoon 2FA’로 알려져있다. 이는 마이크로소프트 365를 타깃으로 하는 PhaaS(Phishing as a Service) 플랫폼이기도 하다.

MFA 우회 위한 3가지 수법

MFA를 우회하는 두 번째 수법은 사용자가 하루에 응답해야 할 수 있는 ‘알림’ 수를 활용하는 것이다. 즉 “사용자가 기업 리소스에 액세스할 때마다 MFA를 제공해야 한다면, 이른바 ‘MFA 피로’ 현상이 발생한다”는 것이다. 즉 매번 공격자의 요청을 승인하다보니, 요청해온 주체나 출처, 시작 시간을 검증할 여유를 갖지 못하는 상황이 발생하게 된다. 그야말로 해커가 쉽게 악용할 만한, 조직 내 보안 검사로 인한 피로 상태라고 할 수 있다.

또 다른 접근 방식은 해커가 아예 MFA 재설정 토큰을 손상시키는 것이다. 그렇게 되면 MFA 재설정 토큰에 액세스하면, 공격자가 계정에서 MFA를 비활성화했다가 다시 활성화하고, 비밀번호를 재설정할 수 있게 된다.

모든 기업들은 MFA를 보안 인프라의 필수로 여긴다. 이에 따라 AiTM 수법도 날로 정교해진다. “MFA를 원활하게 우회하는 가장 유용한 방법”이기 때문이다. 특히 웹 기반 애플리케이션의 광범위한 보급은 더욱 이를 부추긴다. “AitM 공격은 클라우드 소프트웨어 서비스(SaaS) 플랫폼과 같이 브라우저 기반 로그인에 크게 의존하는 환경에서 특히 효과적이기 때문”이란 얘기다. 이에 파이오링크 관계자는 “사용자 자격 증명을 훔치는 것을 목표로 하는 기존 피싱 공격보다 더 효율적”이라면서 “특히 활성화된 인증 세션을 탈취함으로써 MFA 보안 조치를 완전히 우회할 수 있도록 한다”고 밝혔다.

이는 “또한 조용하고 감지하기 어렵고 사용자 동작과 분리되어 있기 때문에 숙련된 보안 분석가나 IT 관리자라도 미처 이를 놓치는 경우가 많다”고 경계했다.

AiTM 키트 날로 정교하게 진화

날이 갈수록 피싱 키트는 더욱 정교해지고, 자동화 도구도 한층 발달하고 있다. 이런 키트가 합법적인 로그인 포털을 모방, 실시간으로 사용자 자격 증명과 MFA 토큰을 캡처하는 것이다. 시중엔 이미 이런 용도의 ‘Evilginx2’나, ‘Rockstar 2FA’, ‘Muraena’, ‘Modlishka’ 등과 같은 오픈소스 도구들이 넘쳐나고 있다. 특히 문제는 “이러한 도구는 일반적으로 기술적 전문 지식이 거의 필요하지 않아 더 광범위하게 유포될 수 있다”는 점이다.

이처럼 공격자가 MFA를 우회할 수 있는 가능성이 점점 더 높아지고 있지만 “다행히도 이를 방지하기 위한 조치도 많이 보급되고 있다”는 보안업계의 얘기다.

이들은 우선 고급 보안 기술이나, 동적 액세스 제어. 사전 예방 교육을 통합하는 전략적이고 다층적인 접근 방식을 조언한다. 또 “우회의 위험이 있다고 해서 MFA가 효과적이지 않다는 것은 아니다”는 것이다. 그러므로 사용자 기반 전체에서 MFA를 활성화하고 시행하는 것이 무엇보다 중요하다.

만약 공격자가 MFA를 우회하지 못하도록 하려면 모든 기본 보안 제어 장치를 작동, 테스트함으로써 효과가 있는지 확인해야 한다. 특히 이메일 필터링, 네트워크 트래픽 필터링, 사용자 교육, 적절한 로깅 및 ‘비정상적인 계정 활동을 자주 모니터링’해야 한다는 주문이다.또한 피싱으로부터 비즈니스를 보호하는 몇 가지 방법도 강조되고 있다. 즉 피싱 사이트를 차단하는 브라우저에 애드온을 활성화하고, 업무용의 경우 이메일 제공업체의 우수한 스팸 필터를 적극 활용하는게 바람직하다.

모든 기본 보안 제어 장치 작동, 테스트 필수

이글루코퍼레이션 관계자는 “특히 퍼블릭 클라우드 환경에서 조건부 액세스 정책을 통해 토큰을 사칭한 중간자 공격에 대응하도록 MFA 방어를 강화해야 한다”면서 “이러한 정책을 통해 관리자는 사용자 이름, 비밀번호 및 MFA 토큰을 넘어 추가적이고 원활한 보안 조치를 시행할 수 있다”고 밝혔다. 이에 따르면 예를 들어 조건부 액세스에는 승인된 장치와 승인된 위치에서 로그인하도록 요구하는 것이 포함될 수도 있다. “사칭 토큰 공격은 종종 알 수 없거나 외국 IP 주소에서 발생하기 때문”이란 얘기다.

이 경우 긍정적인 사이버 인식 교육 또한 중요하다. 그러나 “공격자들이 사용자를 조종, 자격 증명이나 MFA 코드를 본인도 몰래 넘기도록 하는 소셜 엔지니어링 사용을 특히 경계해야 한다”는 경고다. 또한 FIDO2와 같은 피싱 방지 MFA를 채택하고, 고도의 위협 탐지기술, 제로 트러스트 접근 방식도 추천되고 있다.