FBI가 공식적으로 경고했을 정도...다중 인증 뚫어내는 방법 세 가지 소개돼
공격 자체가 쉬운 건 아니지만, 편리한 도구들 속속 등장하는 추세
[보안뉴스 문가용 기자] 다중 인증이 조금씩 확산되기 시작하면서 이에 대한 공격자들의 관심이 높아지고 있다. 그러면서 다중 인증 시스템에 대한 공격도 조금씩 늘어나고 있는 추세다. FBI도 최근 사이버 공격자들이 다중 인증을 회피하기 위한 여러 가지 방법을 개발해 활용하고 있다고 공식 경고한 바 있을 정도다. 그러면서 범죄자들의 주요 전략 세 가지를 거론했다.
[이미지 = iclickart]
그 중 하나는 비교적 널리 알려져 있는, 심카드 스와핑(SIM card swapping) 공격이다. 전화 통화가 가능한 모든 모바일 장비들에는 심카드라는 것이 심겨져 있고, 이 심카드를 통해 사용자의 통신사 계정과 전화번호가 서로 연동된다. 공격자가 심카드의 정보를 조작해 제3의 심카드에 피해자의 정보를 심고, 그 심카드를 자기가 가지고 있는 장비에 심으면 해당 장비가 피해자의 장비인 것처럼 인식된다. 이렇게 하면 문자를 통해 날아오는 1회용 비밀번호를 가로챌 수 있게 되며 다중 인증이 풀리게 된다.
심스와핑은 다른 사람을 믿으려 하는 인간의 본능을 악용하는 공격이기도 하다. 공격은 보통 다음과 같은 과정을 통해 이뤄진다.
1) 공격자가 피해자가 가입된 통신사에 전화를 건다.
2) 마치 긴급한 상황인 것처럼 통신사 직원과 통화를 한다.
3) 현재 등록된 전화번호를 새로운 장비의 새 심카드로 옮겨달라고 요청한다.
4) 대응하는 직원은 고객의 불만 사항이나 위급한 상황을 빨리 해결해주고자 이에 응한다.
5) 이제 공격자의 손에는 피해자의 전화가 들려 있다.
6) 피해자의 진짜 전화는 통화가 불가능한 상태로 만들어져 있다.
이렇게 심스와핑에 성공했을 때 어떤 일이 발생할 수 있을까? 위에도 언급했다시피 다중 인증의 일부로 전송되는 1회용 비밀번호를 가로챌 수 있게 된다. 사용자가 설정한 원래의 크리덴셜도 ‘비밀번호를 잊어버렸어요’와 같은 도움 기능을 통해 탈취할 수 있게 된다. 더 정확히 말하면, 크리덴셜을 공격자 마음대로 바꿀 수 있다. 통신사에 피해자인 척 연락해 비싼 서비스에 가입할 수도 있고, 전화번호 인증만 있으면 통과되는 여러 서비스를 이용할 수도 있게 된다. 이러는 동안 피해자는 전화나 자기 계정에 접속도 못하는 상황이다.
FBI가 언급한 두 번째 방법은 안전하지 않은 웹사이트를 활용하는 것이다. 실제로 사이버 공격자들이 한 은행의 엉성한 웹사이트를 통해 다중 인증을 뚫어낸 사례가 있다. 당시 공격자들은 자신들이 생성한 명령 문자열을 주소창에 주입함으로써 다중 인증 시스템을 통과했었다고 한다(정확히 말하면, 다중 인증 단계를 건너 뛸 수 있었다). 그런 후 정상적인 고객으로서 접속에 성공했고, 해당 계정에서 공격에 필요한 거의 모든 일을 마음껏 할 수 있었다.
마지막 공격법은 피싱 공격이다. 피싱 공격은 정보를 훔치려는 공격자들 모두가 꾸준히 사용하고 있는 기법이기도 하다. 예를 들어 피해자가 거래하는 은행에서 보낸 것처럼 이메일을 가짜로 만들어 전송하면, 피해자들은 의심하지 않는 게 보통이다. 그러면서 자연스럽게 로그인을 유도하면, 간단하게 사용자의 크리덴셜을 훔칠 수 있게 된다. 혹은 악성 링크를 걸어놔도 이미 은행에서 보낸 메일인 것으로 이해하고 있는 피해자들은 거르지 않는다. 이 클릭 한 번으로 공격자들은 광고 사기, 추적, 멀웨어 감염 등에 노출될 수 있다.
실제 은행 사이트를 통해 인증을 유도할 수도 있다. 이러면 피해자 보기에는 더 진짜 같다. 진짜 은행 사이트를 통해 피해자가 로그인을 마치면, 해당 세션 쿠키를 훔쳐내거나 캡쳐함으로써 공격자들은 피해자의 계정에 대해 높은 권한을 가질 수 있게 된다. 이러한 공격 방법을 채널재킹(channel-jacking)이라고 부른다.
채널재킹은 다중 인증을 우회하는 데 꽤나 높은 효과를 보이지만, 그만큼 실행하기가 어렵다. FBI에 따르면 리버스 프록시 웹 서버 설정에 꽤나 깊은 지식이 있어야 한다고 한다. 그러나 이런 부분을 쉽게 해주는 도구들이 등장하고 있다는 것에 주목해야 한다고 FBI는 강조했다. “무래나(Muraena)와 네크로브라우저(NecroBrowser) 등이 특히 요즘 많이 사용되고 있습니다. 공격을 자동화시켜주는 툴들과 합해져서요. 그렇기에 앞으로 다중 인증을 뚫어내려는 공격이 보다 과감하게, 자주 일어날 것으로 예상됩니다.”
3줄 요약
1. 다중 인증이 서서히 퍼지자, 공격자들의 관심도 높아짐.
2. 심재킹, 웹사이트 공격, 채널재킹 등의 공격 기법이 특히 자주 사용됨.
3. 다중 인증 자체를 우회하는 데 필요한 공격 도구들도 등장 중.
[국제부 문가용 기자(globoan@boannews.com)]
공격 자체가 쉬운 건 아니지만, 편리한 도구들 속속 등장하는 추세
[보안뉴스 문가용 기자] 다중 인증이 조금씩 확산되기 시작하면서 이에 대한 공격자들의 관심이 높아지고 있다. 그러면서 다중 인증 시스템에 대한 공격도 조금씩 늘어나고 있는 추세다. FBI도 최근 사이버 공격자들이 다중 인증을 회피하기 위한 여러 가지 방법을 개발해 활용하고 있다고 공식 경고한 바 있을 정도다. 그러면서 범죄자들의 주요 전략 세 가지를 거론했다.
[이미지 = iclickart]
그 중 하나는 비교적 널리 알려져 있는, 심카드 스와핑(SIM card swapping) 공격이다. 전화 통화가 가능한 모든 모바일 장비들에는 심카드라는 것이 심겨져 있고, 이 심카드를 통해 사용자의 통신사 계정과 전화번호가 서로 연동된다. 공격자가 심카드의 정보를 조작해 제3의 심카드에 피해자의 정보를 심고, 그 심카드를 자기가 가지고 있는 장비에 심으면 해당 장비가 피해자의 장비인 것처럼 인식된다. 이렇게 하면 문자를 통해 날아오는 1회용 비밀번호를 가로챌 수 있게 되며 다중 인증이 풀리게 된다.
심스와핑은 다른 사람을 믿으려 하는 인간의 본능을 악용하는 공격이기도 하다. 공격은 보통 다음과 같은 과정을 통해 이뤄진다.
1) 공격자가 피해자가 가입된 통신사에 전화를 건다.
2) 마치 긴급한 상황인 것처럼 통신사 직원과 통화를 한다.
3) 현재 등록된 전화번호를 새로운 장비의 새 심카드로 옮겨달라고 요청한다.
4) 대응하는 직원은 고객의 불만 사항이나 위급한 상황을 빨리 해결해주고자 이에 응한다.
5) 이제 공격자의 손에는 피해자의 전화가 들려 있다.
6) 피해자의 진짜 전화는 통화가 불가능한 상태로 만들어져 있다.
이렇게 심스와핑에 성공했을 때 어떤 일이 발생할 수 있을까? 위에도 언급했다시피 다중 인증의 일부로 전송되는 1회용 비밀번호를 가로챌 수 있게 된다. 사용자가 설정한 원래의 크리덴셜도 ‘비밀번호를 잊어버렸어요’와 같은 도움 기능을 통해 탈취할 수 있게 된다. 더 정확히 말하면, 크리덴셜을 공격자 마음대로 바꿀 수 있다. 통신사에 피해자인 척 연락해 비싼 서비스에 가입할 수도 있고, 전화번호 인증만 있으면 통과되는 여러 서비스를 이용할 수도 있게 된다. 이러는 동안 피해자는 전화나 자기 계정에 접속도 못하는 상황이다.
FBI가 언급한 두 번째 방법은 안전하지 않은 웹사이트를 활용하는 것이다. 실제로 사이버 공격자들이 한 은행의 엉성한 웹사이트를 통해 다중 인증을 뚫어낸 사례가 있다. 당시 공격자들은 자신들이 생성한 명령 문자열을 주소창에 주입함으로써 다중 인증 시스템을 통과했었다고 한다(정확히 말하면, 다중 인증 단계를 건너 뛸 수 있었다). 그런 후 정상적인 고객으로서 접속에 성공했고, 해당 계정에서 공격에 필요한 거의 모든 일을 마음껏 할 수 있었다.
마지막 공격법은 피싱 공격이다. 피싱 공격은 정보를 훔치려는 공격자들 모두가 꾸준히 사용하고 있는 기법이기도 하다. 예를 들어 피해자가 거래하는 은행에서 보낸 것처럼 이메일을 가짜로 만들어 전송하면, 피해자들은 의심하지 않는 게 보통이다. 그러면서 자연스럽게 로그인을 유도하면, 간단하게 사용자의 크리덴셜을 훔칠 수 있게 된다. 혹은 악성 링크를 걸어놔도 이미 은행에서 보낸 메일인 것으로 이해하고 있는 피해자들은 거르지 않는다. 이 클릭 한 번으로 공격자들은 광고 사기, 추적, 멀웨어 감염 등에 노출될 수 있다.
실제 은행 사이트를 통해 인증을 유도할 수도 있다. 이러면 피해자 보기에는 더 진짜 같다. 진짜 은행 사이트를 통해 피해자가 로그인을 마치면, 해당 세션 쿠키를 훔쳐내거나 캡쳐함으로써 공격자들은 피해자의 계정에 대해 높은 권한을 가질 수 있게 된다. 이러한 공격 방법을 채널재킹(channel-jacking)이라고 부른다.
채널재킹은 다중 인증을 우회하는 데 꽤나 높은 효과를 보이지만, 그만큼 실행하기가 어렵다. FBI에 따르면 리버스 프록시 웹 서버 설정에 꽤나 깊은 지식이 있어야 한다고 한다. 그러나 이런 부분을 쉽게 해주는 도구들이 등장하고 있다는 것에 주목해야 한다고 FBI는 강조했다. “무래나(Muraena)와 네크로브라우저(NecroBrowser) 등이 특히 요즘 많이 사용되고 있습니다. 공격을 자동화시켜주는 툴들과 합해져서요. 그렇기에 앞으로 다중 인증을 뚫어내려는 공격이 보다 과감하게, 자주 일어날 것으로 예상됩니다.”
3줄 요약
1. 다중 인증이 서서히 퍼지자, 공격자들의 관심도 높아짐.
2. 심재킹, 웹사이트 공격, 채널재킹 등의 공격 기법이 특히 자주 사용됨.
3. 다중 인증 자체를 우회하는 데 필요한 공격 도구들도 등장 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
