MFA(다중 인증) 우회의 기술에 대하여 : 공격자들이 규칙적으로 이중 인증을 무력화하는 방법들

클라우드 기반의 생산성, 강력한 분석 플랫폼, 대규모 기업 ERP 시스템, 그리고 그 사이의 모든 응용 프로그램들 – 작업을 수행하기 위해 웹 브라우저는 현대적인 주요 응용 프로그램 인터페이스입니다. 하지만 이로 인해 웹 브라우저는 현대 공격자들의 주요 대상이기도 합니다. 이는 현재의 공격 기술의 본질과 전통적인 보안 방어 수단의 효과에 근본적인 영향을 미칩니다 – 혹은 그 부재에 영향을 미칩니다.

실제로, 위협 주체들은 점점 더 회피적인 공격 기술을 활용하여 기업이 적용한 일반적인 보안 방어 수단들을 우회하는데 성공하고 있습니다. 이에는 Secure Web Gateway(SWG)에 의한 검사, 악성 링크 분석, 악성 코드 분석, 샌드박싱, 네트워크 트래픽 분석, 도메인 분류를 기반으로 한 방어 수단 등이 포함됩니다. 이러한 공격들은 전통적인 보안 도구들이 웹 브라우저를 대상으로 하는 현대적이고 매우 회피적인 공격 기술에 대응하기에는 너무 빠르게 진행됩니다. 또한, 공격자들이 웹 브라우저를 효과적으로 대상으로 공격하기 때문에 웹 브라우저를 직접 방어하지 않는 보안 방어 수단은 매우 취약할 가능성이 높습니다.

이러한 공격 기술 중 하나는 다중 인증(MFA) 우회 공격입니다. MFA의 사용이 최근 몇 년간 소비자 및 기업 인증에 확대되면서, 공격자들은 MFA 우회 방법을 배우는 데 상당한 관심과 성공을 보이고 있습니다.

MFA bypass 공격이란?

MFA 우회 공격은 사이버 범죄자들이 MFA가 제공하는 추가 보안 계층, 예를 들어 일회용 비밀번호, 디지털 토큰, 생체 인증 등을 우회하여 미승인된 접근으로부터 민감한 데이터와 시스템에 불법적으로 접근하는 기술을 가리킵니다. 또한, 싱글 사인온(SSO) 위장이라고도 알려진 이러한 공격은 Okta, LastPass, OneLogin과 같은 SSO 시스템에 대한 신뢰를 이용하여 여러 관련 서비스에 미승인된 접근을 시도합니다. 공격자들은 사회 공학, 피싱, 인증 과정의 취약점 이용 등 다양한 방법을 사용하여 MFA 우회 공격을 수행합니다.

공격자들이 MFA 시스템을 대상으로 공격할 때, 그들은 비밀번호(사용자가 알고 있는 것), 토큰(사용자가 가지고 있는 것), 생체 인증(사용자가 가지고 있는 것)과 같은 특정 MFA 구성 요소 중 하나 이상을 악용하려고 합니다. 기업은 이러한 공격을 막기 위해 적절한 보안 방어 수단을 사용하여 꾸준한 주의가 필요합니다.

이제, 기업을 향해 성공적으로 사용된 일부 일반적인 MFA 우회 기술에 대해 살펴보겠습니다.

MFA bypass 공격 작동 방식

조직을 대상으로, 우리가 관찰해야 할 MFA 우회 공격에는 세 가지 일반적인 유형이 있습니다. 이들은 MFA 피로 공격, 중간자 공격 및 토큰 도난입니다.

MFA 피로 공격

이 공격은 유출된 사용자 이름과 비밀번호 자격 증명을 획득한 후, 공격자가 대상 사용자의 계정으로 반복적인 로그인 시도를 하는 공격입니다. 사용자가 MFA 보호의 일환으로 푸시 알림이나 SMS 알림을 사용하는 조직의 경우, 대상 사용자는 로그인 확인 요청으로 공격자로부터 폭탄처럼 표적판이 됩니다. 종종 순수한 좌절이나 우발적인 실수로 인해 사용자는 결국 링크나 확인 요청을 클릭하게 됩니다. 그 행동이 공격자에게 접근 방법을 제공합니다.

중간자 공격

이 공격은 때때로 세션 하이재킹(session hijacking) 또는 실시간 피싱(real-time phishing)이라고도 불립니다. 공격자는 사용자 이름과 비밀번호 조합만을 목표로 할 때, 일반적으로 가짜 인증 웹 페이지를 구축하고 사용자를 속여 자격 증명을 입력하도록 유도합니다. 오늘날 MFA가 널리 사용되기 때문에, 공격자는 사용자 이름/비밀번호 조합과 더불어 두 번째 인증 형태로 사용되는 디지털 토큰이나 일회용 비밀번호도 필요로 합니다. 유감스럽게도, 이는 이전에 많은 사람들이 기대했던 것보다 수월하게 이루어지고 있습니다.

이러한 공격에서 공격자는 대상 사용자와 합법적인 로그인 페이지 사이에 자신을 삽입합니다. 희생자들은 종종 MFA 공급업체에 대한 비상 액세스 요청을 받게 되는데, 이는 SMS 문자나 이메일을 통해 전달되며 사용자가 클릭하게 유도됩니다. 이후 악성 프록시 서버를 통해 합법적인 로그인 페이지로 리디렉션됩니다. 프록시가 중간에 위치해 있으므로, 공격자는 자격 증명을 캡처한 다음 세션 쿠키를 수정하여 즉시 대상 회사의 시스템에 접근할 수 있습니다. 이러한 유형의 공격 변형이 더 많이 나타날 것으로 예상됩니다.

토큰 도난

사용자가 세션 동안 다시 인증을 받지 않아도 되도록, “세션 쿠키”가 엔드포인트 장치에 저장됩니다. 위협 행위자는 이러한 세션 쿠키를 도용합니다. 그런 다음 세션 쿠키를 공격자의 세션 내에 배치하여 브라우저를 속여 원래 신뢰할 수 있는 사용자가 인증되는 것처럼 작동합니다. 일단 접근하면, 공격자는 동일한 쿠키를 사용하여 신뢰할 수 있는 사용자가 수행할 수 있는 모든 작업을 수행할 수 있습니다.

최근 MFA 우회 공격 사례

MFA 피로 공격 증거

최근 MFA 우회 공격은 실제로 큰 관심을 받고 있습니다. 그 예로는 지난 가을 우버의 IT 시스템 침해 사례가 있습니다. 해당 “MFA 피로” 공격에서 위협 행위자는 우버 직원들에게 우버의 IT 부서에서 온 것처럼 속이는 방식으로 로그인 요청을 승인하도록 계속해서 시도했습니다. 우버 직원들은 결국 속아넘어가 승인을 하게 되었습니다.

중간자 공격 증거

레딧은 올해 초에 위협 행위자가 직원의 사용자 이름, 비밀번호 및 이중 인증 토큰을 성공적으로 탈취했다고 보고했습니다. 레딧 CTO인 크리스토퍼 슬로우는 해당 사건에 대해 레딧 사이트에서 상세히 설명했습니다. “”2023년 2월 5일(태평향중부표준시) 늦은 시각에 우리는 레딧 직원을 대상으로 한 정교한 피싱 캠페인에 대해 인식하게 되었습니다. 대부분의 피싱 캠페인과 마찬가지로, 공격자는 직원들을 신뢰할 만한 프롬프트로 유도하여 인트라넷 게이트웨이의 동작을 클론한 웹사이트로 리디렉션시켜 자격증명과 이중 인증 토큰을 도용하려고 시도했습니다””라고 슬로우는 씁니다

트위리오와 클라우드플레어에도 유사한 공격이 가해졌습니다. Stony Brook 대학의 연구원들은 Evilginx, Modlishka, Muraena와 같은 널리 사용되는 키트들 덕분에 중간자 피싱 공격이 증가하고 있다는 것을 보여주었습니다.

토근 도난 공격 증거

최근 Lapsus$라고 알려진 랜섬웨어 그룹이 토큰 도난 공격을 사용했습니다. 이 그룹은 Genesis Marketplace라는 최근 폐쇄된 범죄 시장에서 Electronic Arts 직원의 훔친 세션 쿠키를 구입했다고 주장했습니다. 도난된 쿠키로 사이버 범죄자들은 EA의 Slack 인스턴스에 접근할 수 있었습니다. 이로 인해 Lapsus$ 그룹은 EA의 게임 및 그래픽 엔진 소스 코드를 포함한 780GB의 데이터를 탈취했습니다. 이후 그룹은 이 데이터를 사용하여 Electronic Arts를 협박하는 시도를 했습니다.

우회하는 공격 기술의 부정한 의도와 접근

고도로 회피적인 공격 기술의 부정함은 기업 시스템과 데이터가 숙련된 공격자에게 취약하다는 사실을 보여줍니다. 이러한 공격은 네트워크 및 엔드포인트 보안 도구의 보호 범위에 포함되지 않은 웹 브라우저와 그 사용 증가에 대한 적응이 필요합니다. 기존의 보안 솔루션은 네트워크 계층을 보호하기 위해 설계되었는데, 이러한 현대적인 공격은 웹 브라우저를 대상으로 합니다.

EA, Reddit, Twilio, Uber 등을 향한 MFA 우회 공격은 콘텐츠 분류 엔진, URL 필터링, 안전한 이메일 게이트웨이, 기업 이상 감지 기능 등의 기존 보안 도구 및 MFA를 우회하는 데 성공했습니다. 대상이 된 많은 엔드포인트는 기업 보안팀이 관리하거나 보호하지 않는 개인 장치였습니다. 이러한 장치는 거의 또는 전혀 보안 조치가 없기 때문에 공격자에게 쉬운 대상이 됩니다.

이러한 공격들은 고도로 회피적 적응형 위협(HEAT)으로 분류되며, 원격 근무 및 하이브리드 워크포스, 클라우드 이전 및 소프트웨어 서비스(SaaS) 애플리케이션의 가속화된 채택 증가에 따라 등장했습니다. HEAT 공격은 현재 존재하는 탐지 기반 보안 도구를 피하는 기술을 사용하며, 지식 근로자들이 사용하는 생산성 소프트웨어인 웹 브라우저를 대상으로 합니다.

MFA 우회 공격과 같은 HEAT 공격은 실시간으로 발생하기 때문에 일반적인 웹 필터와 같은 보안 조치가 업데이트되기 전에 악성 행위자가 조직의 취약점을 이용할 수 있습니다. 이러한 HEAT 공격의 효과성은 기술 지원 직원을 사칭하거나 반복적인 인증 요청으로 사용자를 혼란시키는 등의 사회 공학 기술을 활용하여 개인들이 보안을 저해하도록 유도하는 데서 나옵니다.

일정 비율의 최종 사용자가 사회 공학적 전술에 쉽게 속기 때문에 이러한 공격은 시그니처 기반 방어로는 너무 빠르게 진행되므로, 조직은 진행 중인 공격을 중단시키기 위한 조치를 취해야 합니다. 이러한 공격에 효과적으로 대응하기 위해서는 사용자의 웹 브라우저 내에서 공격을 차단하는 것이 필수적입니다.

MFA 우회 공격 예방

MFA 우회 및 기타 HEAT 기술에 대한 성공적인 방어를 위해 기업은 브라우저 내에서 가시성을 제공하는 예방적인 솔루션에 보안 노력을 집중해야 합니다. 실시간으로 발생하는 이러한 회피적인 공격을 탐지하고 대응할 수 있어야 합니다. 그리고 보안 팀은 공격자들이 그들의 노력을 기울이는 곳에 자신들의 노력을 기울여야 합니다: 웹 브라우저 내부에. 공격자들이 실시간으로 전술을 조정하는 것처럼, 기업은 웹 브라우저 내에서 직접 보안 방어를 시행할 수 있는 적응형 보안 제어를 적용할 수 있어야 합니다. 이를 통해 공격이 기기나 시스템에 영향을 미치기 전에 공격을 차단하고 데이터를 노출시키지 않는 것이 가능합니다.