미국 연방수사국(FBI)이 민간 산업계를 겨냥한 다중요소인증(MFA) 우회공격을 조심하라는 보안 권고문을 발행했다. MFA 보안을 적용했다고 무조건 안심해선 안 된다는 메시지다.
7일(현지시간) 미국 지디넷에 따르면 FBI는 지난달 17일 발행한 민간산업공지(PIN)에서 사회공학적, 기술적 공격으로 MFA를 우회하는 해커들을 발견했다고 언급했다.
PIN을 통해 FBI는 특히 가입자식별모듈(SIM) 스와핑, MFA 운영 페이지의 취약점, 무레나(Muraena)와 네크로브라우저(NecroBrowser) 등의 도구를 이용하는 투명 프록시 사용 기법을 주의하라면서, 이를 통해 발생한 실제 공격 사례를 열거했다.
FBI는 지난 2016년 미국 금융기관을 대상으로 발생한 SIM 스와핑 사례를 들었다. SIM 스와핑은 가입자가 소유한 SIM으로 전달돼야 할 정보를 가로채는 것이다. 이 당시 공격자는 통신사 고객 서비스 담당자에 전화해 SIM 스와핑에 성공한 뒤, 은행에 전화해 피해자 계좌 금액을 자신의 계좌로 이체하려 했다. 이 과정에서 은행이 피해자 전화번호로 일회성 코드 인증을 수행했지만, 이 정보는 공격자의 휴대전화로 전송됐다. 휴대전화 요금을 납부할 신용카드 번호도 피해자의 것으로 교체할 수 있었다.
지난해부터 올해까지 FBI에 접수된 민원들에서도 SIM 스와핑 사례가 발생, 은행 계좌가 사라지거나 비밀번호, 2차 인증번호 등이 변경되는 사례가 관찰됐다. 관찰된 사례 중 대부분 통신사 고객 서비스 담당자를 통해 SIM 스와핑이 이뤄졌다.
미국의 한 은행 기관의 경우 올해 2단계 인증 우회 공격 대상이 됐다. 해커가 탈취한 정보로 피해자 계정에 로그인하더라도 잠겨 있는 정보를 보기 위해 보안 질문 답변과 핀 번호를 입력해야 하는 보조 페이지가 존재한다. 이에 대해 해커는 조작된 문자열을 웹 URL에 입력해 2단계 인증을 회피했다.
지난 2월 열린 글로벌 보안 전시회 'RSA 컨퍼런스 2019'에서도 다단계 인증을 회피하기 위한 공격, 계획들이 소개됐다. 이용자와 웹사이트 간 주고 받는 암호화된 데이터를 중간에서 가로채서 살펴보는 MITM 공격, 세션 하이재킹 등이 일례다. 사기성 문자메시지 등 사회공학적 공격도 있었다.
6월 암스테르담에서 열린 보안 컨퍼런스 '핵 인 더 박스'에서는 다단계 인증 사용자를 공격하기 위한 무레나, 네크로브라우저 시연도 진행된 바 있다.
관련기사
- 온라인 상의 안전한 인증 방식 도입 확대돼야2019.10.08
- "공공 등에 액티브X 대체 로그인 기술 제공"2019.10.08
- 구글, 2단계 인증용 장치 '타이탄 보안키' 공개2019.10.08
- SMS 이용한 본인인증 퇴출되나2019.10.08
다만 FBI가 'MFA 무용론'을 취한 건 아니다. 비교적 안전하다고 알려진 MFA 보안 환경도 해킹당할 가능성이 있음을 인지해달라는 것이 요지다. 이 보고서에서 FBI는 피해 예방 차원에서 경계 태세를 갖춰야 한다고 주장했다. 또 기업들에게 MFA 사용 권장을 철회하지도 않고 있다.
미국지디넷은 MFA 우회 공격 도구나 사례가 증가했지만, 아직까지도 드문 편이라고 평가했다.