[보안뉴스 문가용 기자] 크리덴셜을 겨냥한 사이버 공격이 증가하자 여러 조직들에서 다중인증 시스템을 적용하고 있다. 그런데 이 다중인증 시스템에 공격자들이 적응을 하기 시작했다는 분석 보고서가 나왔다. 보안 업체 사이버아크(CyberArk)가 최근 발생한 실제 공격 사례들을 분석한 결과다.
[이미지 = utoimage]
사이버아크가 발견한 바에 의하면 공격자들이 다중인증 시스템을 우회하는 방법은 최소 서너가지라고 한다. 이 방법들을 활용할 경우 다중인증 시스템의 효과를 크게 낮출 수 있다고 하는데, 그 중 하나는 싱글사인온(Single Sign On, SSO) 인프라에서 비밀 키를 훔치는 것으로 지난 솔라윈즈(SolarWinds) 사태 때 공격자들이 활용했었다.
사이버아크의 부회장인 샤이 나하리(Shay Nahari)는 이러한 공격 기법들을 분석함으로써 현존하는 다중인증을 보강해야 한다고 설명했다. “최근 다중인증을 도입하는 조직들이 크게 늘어나고 있습니다. 보안의 측면에서는 좋은 현상이죠. 다만 공격자들이 다중인증을 공략하는 경우들도 증가하고 있습니다. 여러 가지 방법들이 공격자들 사이에서 연구되는 것으로 보입니다.”
코로나 사태로 많은 사람들이 원격 근무를 시작하면서 다중인증의 필요성은 극대화 되었다. 그러면서 많이 사용된 것이 SSO이다. 하지만 사이버아크에 의하면 SSO에는 중요한 결함이 있을 수 있다고 한다. “어떤 기업의 경우, 사용자가 SSO 인프라에 로그인하고 나면 중요한 자산에 접근할 때도 다시 인증을 할 필요가 없도록 인프라를 구성했습니다. 이럴 때 공격자가 저단계 장비에 SSO로 접근하는 데 성공함으로써 민감한 정보 등에도 접근할 수 있게 됩니다. 즉 권한 상승 공격과 같은 효과가 발생하는 것이죠.”
나하리는 “그러한 경우 아이덴티티를 기반으로 인증 구조가 짜여져 있지 않다는 것이 치명적인 약점”이라고 설명한다. “즉 다중인증의 기본 구조가 되어야 할 제로트러스트가 결여되어 있다는 것이죠. 그저 여러 장비와 서비스에 편리하게 로그인 되어야 한다는 필요만 만족시키는 데 집중해 있기 때문입니다.”
또 다른 기업의 경우 다중인증을 도입해 놓은 상태이지만 새로운 사용자들을 등록하는 과정 중에 취약점을 유발시키기도 했다. “이 기업의 경우, 새로운 사용자들에게 이메일을 보냈습니다. 여기에 링크를 걸어뒀고, 사용자가 이걸 모바일로 클릭하면 기업의 다중인증 시스템 페이지가 열리도록 했습니다. 즉 모바일 인증과 기업의 다중인증이 연동되도록 한 것입니다. 공격자가 사용자의 핸드폰을 노려 이메일 함에 접근한 뒤 이 등록 메일만 찾아내면 된다는 것입니다.”
원격 데스크톱에서 회사 서버로 접근할 때 다중인증을 요구하는 한 조직의 경우, 서버를 제외하고 포트나 서버 내 애플리케이션들에 접근할 때는 다중인증을 구축하지 않았었다고 사이버아크는 보고서를 통해 예를 들었다. “이 때문에 공격자들이 접근할 다른 경로가 그대로 보존되었던 것입니다. 딱히 서버로 곧장 접근하지 않아도 여러 방법들이 있었습니다. 오히려 다중인증이 적용되었다고 방심하다가 이런 허술한 부분을 보강하지 않아 공격이 발생했습니다.”
나하리는 “다중인증이 더 이상 효과를 발휘하지 못한다는 뜻이 아니”라고 거듭 강조했다. “현재 다중인증이 허술하게 구축된 부분이 많고, 공격자들이 이를 알아내 여러 가지 방법으로 공략하고 있다는 걸 알리고 싶었습니다. 다중인증을 구축하는 데서 끝내는 것이 아니라 계속해서 감사함으로써 보완을 이어가야 합니다. 다중인증은 그 자체로 보안의 끝이 아닙니다. 커다란 보안 아키텍처의 일부라는 걸 좀 더 이해할 필요가 있습니다.”
3줄 요약
1. 코로나 시작되며 다중인증 도입하는 곳 늘어남.
2. 하지만 엉성하게 도입되는 경우 많아 공격자들의 공격 성공률 높아짐.
3. 다중인증은 구축으로 끝나는 게 아니라 지속적 관리가 필요.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>