.jpg)
목표 의식이 강한 공격자라면 그 어떤 것도 막을 수 없다는 게 다시 한 번 입증됐다. 아직 정체를 알 수 없는 공격자들이 최근 애플 생태계를 색다른 방법으로 농락하고 있다는 사실이 발견됐기 때문이다.
[보안뉴스 문가용 기자] 이른 바 ‘다중인증 세례’라는 기법의 공격을 통해 애플 아이폰을 침해하려는 시도가 이어지고 있다. 특정 상황에서 정상적으로 사용자들에게 출력되는 비밀번호 재설정 알림이 끝도 없이 발동되게 하는 것으로, 공격자의 최종 목표는 아이클라우드 계정인 것으로 보인다. ‘다중인증 세례’ 공격이라는 기법이 계속해서 진화하고 있다는 점에서 주목할 만한 사건이다.
[이미지 = gettyimagesbank]
이 캠페인을 제일 먼저 발견해 알린 건 보안 전문 블로그인 크렙스온시큐리티(KrebsOnSecurity)이다. 이에 따르면 캠페인의 주된 표적은 기업 경영진이나 IT 부문 책임자라고 한다. 공격자들은 비싱(vishing)이라는 기법마저 활용하는 대범함을 선보였다고 한다. 즉 피해자와 영상 통화까지 시도했다는 뜻이다. 이 경우 공격자는 애플의 고객 지원 담당자인 것처럼 자신을 소개했다. 이 때 사용한 전화번호는 애플의 정식 고객 지원 번호와 상당히 비슷했다고 한다.
반복되는 비밀번호 재설정 알림
현재의 캠페인은 무작위 다수를 대상으로 한 것으로 보이지는 않는다. 고도의 표적 공격으로서 진행되고 있다는 것이 전문가들의 의견이다. 피해자가 자신들의 애플 장비들을 사용해 애플 ID를 재설정 하도록 유도하는 게 목적이다. 한 피해자는 “애플의 고객 서비스 담당자라고 사칭한 공격자가 나에 대한 정보를 정확하게 알고 있었다”고 말하며 “내 정보를 그렇게까지 상세하게 가지고 있었다는 사실에 경악했다”고 말하기도 했다.
또 다른 피해자는 푸시 알림이 계속해서 들어왔다며, “아이폰을 새 것으로 바꾸고 계정 이메일도 바꾸고 새로운 아이클라우드 계정을 만들었는데도 멈추지 않았다”고 증언했다. 애플 ID의 복구 키를 활성화 한 후에도 비밀번호 재설정 알림이 계속 울렸다는 피해자도 있었다. 참고로 애플 ID의 복구 키는 애플이 자랑하던 보안 기술 중 하나였다.
공격자들은 어떻게 동시다발적으로 끝도 없는 알림 메시지를 애플 장비로 내보낼 수 있었을까? 전문가들은 이 부분을 분석해가며 답을 찾는 중에 있다. 일각에서는 아이클라우드 계정의 비밀번호 설정 원리에 문제가 있는 것 아니냐는 의심을 하고 있기도 하다. 특히 변경 시도 횟수나 알림 발송 횟수에 제한이 없는 것처럼 보이는데, 이것부터 수정되어야 한다는 지적이 나오고 있다. 애플은 이 사안에 대하여 별 다른 입장 발표를 하지 않고 있다.
다중인증 세례 공격의 진화
‘다중인증 세례(multifactor bombing)’는 다중인증 과정에 대한 피로를 유발하는 공격이라고 할 수 있다. 일종의 소셜엔지니어링 공격이기도 하다. 원리는 간단하다. 피해자의 전화기나 컴퓨터 등으로 푸시 알람을 끝도 없이 내보내는 것이다. 보통은 ‘로그인을 위해 승인 버튼을 눌러달라’는 내용이지만 이번처럼 ‘비밀번호를 재설정하기 위해 승인해달라’는 내용도 있다. 이를 계속해서 보냄으로써 나중에 사용자들이 확인도 하지 않고 Okay 버튼을 누르게 만드는 게 목적이다.
일반적으로 이 공격을 실시하려면 공격자는 먼저 사용자 이름과 비밀번호를 취득해야 한다. 다중인증 기능이 활성화 되어 있는 계정이라면 이 이름과 비밀번호를 반복적으로 입력해 로그인 시도를 할 때마다 피해자에게 인증해달라는 요청 문자가 가게 되어 있다(문자 기반 다중인증일 경우). 즉 요청 시도가 쇄도하게 된다는 뜻이다. 이를 계속 반복하기만 하면 피해자는 피로를 느끼게 된다. 2022년 해킹 그룹 랩서스(Lapsus$)는 이런 방식으로 우버의 서드파티 업체의 VPN을 뚫고 들어가기도 했다.
이번 캠페인이 기존 다중인증 세례 공격과 다른 점은 사용자 이름과 비밀번호 없이 똑같은 공격을 실시하는 것으로 보인다는 것이다. “이번 공격의 경우 해커가 가지고 있는 건 아이클라우드 계정과 연결되어 있는 피해자의 전화번호나 이메일 주소인 것처럼 보입니다. 여기까지만 입력하고 비밀번호를 잊어버렸을 때 사용하는 기능(forgot password)을 활용하는 것이죠. 그런 후 마치 자신이 계정 주인인 것처럼 비밀번호 변경 과정을 밟습니다. 그러면 어느 순간 피해자 장비로 승인 관련 푸시 알림이 가게 되거든요. 이 과정을 무수히 반복하는 것이죠. 피해자가 지쳐서 승인 버튼을 누를 때까지요.” 보안 전문가 맷 요한센(Matt Johansen)의 설명이다.
하지만 애플 아이클라우드의 비밀번호 변경 기능에는 한계가 존재한다. 변경 시도 횟수가 제한되어 있는 것이다. “그럼에도 공격자들은 그 제한된 횟수를 훌쩍 넘어서 변경을 시도합니다. 애플의 보안 장치를 우회하고 있다는 뜻입니다. 게다가 애플의 공식 고객 지원 전화번호를 스푸핑해서 사용하고 있기도 하지요. 이 두 가지가 이번 캠페인의 미스터리입니다. 어떻게 횟수 제한을 풀었는지, 또 애플의 공식 번호로 전화를 걸기 위해 어떤 방법을 쓰는 건지 아직 알 수 없습니다.”
피해자 입장에서는 공식 애플의 번호로 전화도 오고 비밀번호 변경 요청 문자가 쉴 새 없이 들어오는 상황이 연출된다. 성공하지 않으면 그게 더 이상할 정도의 조건이 갖춰진 것이다. 요한센도 “공격 성공률이 매우 높을 것으로 예상된다”는 의견이다. “게다가 여러 조직에서 영향력이 높은 인물들이 집중적으로 표적이 되고 있는 것으로 보입니다. 어디선가 큰 피해가 발생하고 있을 거라고 생각합니다.”
보안 업체 시큐리티스코어카드(SecurityScorecard)의 엔지니어인 제어드 스미스(Jared Smith)는 “공격자들이 아이클라우드 계정의 이메일 주소를 먼저 확보한 뒤 비밀번호 변경 양식에 크리덴셜을 마구잡이로 입력하는 것으로 보인다”고 설명한다. 일종의 크리덴셜 스터핑 공격이 벌어지고 있다는 의미다. 그러면서 “푸시 알람이 대량으로 생성되고 전송되고 있기 때문에 애플도 이 상황을 알고 있을 수밖에 없다”며 “횟수 제한을 더 강력하게 적용하는 방법을 모색 중에 있을 것”이라고 예측하고 있다.
디폴트는 ‘거절’
이런 류의 공격으로부터 안전하려면 어떻게 해야 할까? 다중인증 기능 중에서도 강력한 것을 사용해야 한다. 혹은 다중인증보다 더 강력한 인증 기술로 계정을 보호해야 한다. 다중인증이 비밀번호 하나로 계정을 보호하는 것보다 훨씬 안전한 건 사실이지만, 이미 다중인증을 우회하는 해킹 키트나 대행 서비스를 다크웹에서 쉽게 찾을 수 있는 상황이다. 최근 들어 텔레그램을 통해 타이쿤2FA(Tycoon 2FA)라는 이중인증 우회 피싱 키트가 절찬리에 거래되고 있기도 하다.
음성 통화로 피싱 공격을 감행하는 ‘비싱’ 공격 역시 사이버 범죄자들 사이에서 점점 번지고 있는 추세다. 보안 업체 하이야(Hiya)가 발행한 보고서에 의하면 2023년 한 해 동안 이뤄진 전화 통화 중 28%가 사기 혹은 스팸을 위한 것이었다고 한다. 이런 통화 사기에 당한 피해자는 평균 2300 달러를 잃은 것으로 집계되기도 했다.
보안 업체 원패스워드(1Password)의 안나 포블레츠(Anna Pobletts)는 “피싱 공격의 진화가 여기까지 왔다는 것이 놀랍다”고 말한다. “언젠가 다중인증도 공격자들이 손쉽게 뚫어낼 거라고 예상을 하긴 했는데, 그 시기가 이렇게까지 빠르게 올 거라고는 상상하지 못했습니다. 이제 일부 다중인증 기능은 비밀번호만큼 약하다고 알려야 할 것 같습니다. 문자를 기반으로 한 다중인증만 믿다가 큰 피해를 입은 사례는 이미 충분히 쌓여 있습니다.”
그러면서 포블레츠는 “누구나 전화나 문자로 오는 요청은 거절부터 하고 보는 게 안전하다”고 주장한다. “상대를 개인적으로 알지 못하거나, 요청이 조금이라도 부자연스러우면 거절하는 게 상책입니다. 이번 캠페인의 경우 잘 생각해보면 피해자가 갑자기 어마어마한 양의 비밀번호 변경 알림을 받는 것이나, 애플의 고객 센터에서 전화를 받는 것이나 부자연스럽다는 걸 알 수 있습니다. 아주 희미한 흔적이라도 수상함이 보인다면 거절하는 걸 습관화 하는 게 좋습니다.”
3줄 요약
1. 주요 인물들의 아이폰 장비 노리는 캠페인이 발견됨.
2. 최종 목표는 아이클라우드로 보임.
3. 목표 달성을 위해 공격자들은 기존 다중인증 공략법을 한 차례 진화시킴.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 이른 바 ‘다중인증 세례’라는 기법의 공격을 통해 애플 아이폰을 침해하려는 시도가 이어지고 있다. 특정 상황에서 정상적으로 사용자들에게 출력되는 비밀번호 재설정 알림이 끝도 없이 발동되게 하는 것으로, 공격자의 최종 목표는 아이클라우드 계정인 것으로 보인다. ‘다중인증 세례’ 공격이라는 기법이 계속해서 진화하고 있다는 점에서 주목할 만한 사건이다.
[이미지 = gettyimagesbank]
이 캠페인을 제일 먼저 발견해 알린 건 보안 전문 블로그인 크렙스온시큐리티(KrebsOnSecurity)이다. 이에 따르면 캠페인의 주된 표적은 기업 경영진이나 IT 부문 책임자라고 한다. 공격자들은 비싱(vishing)이라는 기법마저 활용하는 대범함을 선보였다고 한다. 즉 피해자와 영상 통화까지 시도했다는 뜻이다. 이 경우 공격자는 애플의 고객 지원 담당자인 것처럼 자신을 소개했다. 이 때 사용한 전화번호는 애플의 정식 고객 지원 번호와 상당히 비슷했다고 한다.
반복되는 비밀번호 재설정 알림
현재의 캠페인은 무작위 다수를 대상으로 한 것으로 보이지는 않는다. 고도의 표적 공격으로서 진행되고 있다는 것이 전문가들의 의견이다. 피해자가 자신들의 애플 장비들을 사용해 애플 ID를 재설정 하도록 유도하는 게 목적이다. 한 피해자는 “애플의 고객 서비스 담당자라고 사칭한 공격자가 나에 대한 정보를 정확하게 알고 있었다”고 말하며 “내 정보를 그렇게까지 상세하게 가지고 있었다는 사실에 경악했다”고 말하기도 했다.
또 다른 피해자는 푸시 알림이 계속해서 들어왔다며, “아이폰을 새 것으로 바꾸고 계정 이메일도 바꾸고 새로운 아이클라우드 계정을 만들었는데도 멈추지 않았다”고 증언했다. 애플 ID의 복구 키를 활성화 한 후에도 비밀번호 재설정 알림이 계속 울렸다는 피해자도 있었다. 참고로 애플 ID의 복구 키는 애플이 자랑하던 보안 기술 중 하나였다.
공격자들은 어떻게 동시다발적으로 끝도 없는 알림 메시지를 애플 장비로 내보낼 수 있었을까? 전문가들은 이 부분을 분석해가며 답을 찾는 중에 있다. 일각에서는 아이클라우드 계정의 비밀번호 설정 원리에 문제가 있는 것 아니냐는 의심을 하고 있기도 하다. 특히 변경 시도 횟수나 알림 발송 횟수에 제한이 없는 것처럼 보이는데, 이것부터 수정되어야 한다는 지적이 나오고 있다. 애플은 이 사안에 대하여 별 다른 입장 발표를 하지 않고 있다.
다중인증 세례 공격의 진화
‘다중인증 세례(multifactor bombing)’는 다중인증 과정에 대한 피로를 유발하는 공격이라고 할 수 있다. 일종의 소셜엔지니어링 공격이기도 하다. 원리는 간단하다. 피해자의 전화기나 컴퓨터 등으로 푸시 알람을 끝도 없이 내보내는 것이다. 보통은 ‘로그인을 위해 승인 버튼을 눌러달라’는 내용이지만 이번처럼 ‘비밀번호를 재설정하기 위해 승인해달라’는 내용도 있다. 이를 계속해서 보냄으로써 나중에 사용자들이 확인도 하지 않고 Okay 버튼을 누르게 만드는 게 목적이다.
일반적으로 이 공격을 실시하려면 공격자는 먼저 사용자 이름과 비밀번호를 취득해야 한다. 다중인증 기능이 활성화 되어 있는 계정이라면 이 이름과 비밀번호를 반복적으로 입력해 로그인 시도를 할 때마다 피해자에게 인증해달라는 요청 문자가 가게 되어 있다(문자 기반 다중인증일 경우). 즉 요청 시도가 쇄도하게 된다는 뜻이다. 이를 계속 반복하기만 하면 피해자는 피로를 느끼게 된다. 2022년 해킹 그룹 랩서스(Lapsus$)는 이런 방식으로 우버의 서드파티 업체의 VPN을 뚫고 들어가기도 했다.
이번 캠페인이 기존 다중인증 세례 공격과 다른 점은 사용자 이름과 비밀번호 없이 똑같은 공격을 실시하는 것으로 보인다는 것이다. “이번 공격의 경우 해커가 가지고 있는 건 아이클라우드 계정과 연결되어 있는 피해자의 전화번호나 이메일 주소인 것처럼 보입니다. 여기까지만 입력하고 비밀번호를 잊어버렸을 때 사용하는 기능(forgot password)을 활용하는 것이죠. 그런 후 마치 자신이 계정 주인인 것처럼 비밀번호 변경 과정을 밟습니다. 그러면 어느 순간 피해자 장비로 승인 관련 푸시 알림이 가게 되거든요. 이 과정을 무수히 반복하는 것이죠. 피해자가 지쳐서 승인 버튼을 누를 때까지요.” 보안 전문가 맷 요한센(Matt Johansen)의 설명이다.
하지만 애플 아이클라우드의 비밀번호 변경 기능에는 한계가 존재한다. 변경 시도 횟수가 제한되어 있는 것이다. “그럼에도 공격자들은 그 제한된 횟수를 훌쩍 넘어서 변경을 시도합니다. 애플의 보안 장치를 우회하고 있다는 뜻입니다. 게다가 애플의 공식 고객 지원 전화번호를 스푸핑해서 사용하고 있기도 하지요. 이 두 가지가 이번 캠페인의 미스터리입니다. 어떻게 횟수 제한을 풀었는지, 또 애플의 공식 번호로 전화를 걸기 위해 어떤 방법을 쓰는 건지 아직 알 수 없습니다.”
피해자 입장에서는 공식 애플의 번호로 전화도 오고 비밀번호 변경 요청 문자가 쉴 새 없이 들어오는 상황이 연출된다. 성공하지 않으면 그게 더 이상할 정도의 조건이 갖춰진 것이다. 요한센도 “공격 성공률이 매우 높을 것으로 예상된다”는 의견이다. “게다가 여러 조직에서 영향력이 높은 인물들이 집중적으로 표적이 되고 있는 것으로 보입니다. 어디선가 큰 피해가 발생하고 있을 거라고 생각합니다.”
보안 업체 시큐리티스코어카드(SecurityScorecard)의 엔지니어인 제어드 스미스(Jared Smith)는 “공격자들이 아이클라우드 계정의 이메일 주소를 먼저 확보한 뒤 비밀번호 변경 양식에 크리덴셜을 마구잡이로 입력하는 것으로 보인다”고 설명한다. 일종의 크리덴셜 스터핑 공격이 벌어지고 있다는 의미다. 그러면서 “푸시 알람이 대량으로 생성되고 전송되고 있기 때문에 애플도 이 상황을 알고 있을 수밖에 없다”며 “횟수 제한을 더 강력하게 적용하는 방법을 모색 중에 있을 것”이라고 예측하고 있다.
디폴트는 ‘거절’
이런 류의 공격으로부터 안전하려면 어떻게 해야 할까? 다중인증 기능 중에서도 강력한 것을 사용해야 한다. 혹은 다중인증보다 더 강력한 인증 기술로 계정을 보호해야 한다. 다중인증이 비밀번호 하나로 계정을 보호하는 것보다 훨씬 안전한 건 사실이지만, 이미 다중인증을 우회하는 해킹 키트나 대행 서비스를 다크웹에서 쉽게 찾을 수 있는 상황이다. 최근 들어 텔레그램을 통해 타이쿤2FA(Tycoon 2FA)라는 이중인증 우회 피싱 키트가 절찬리에 거래되고 있기도 하다.
음성 통화로 피싱 공격을 감행하는 ‘비싱’ 공격 역시 사이버 범죄자들 사이에서 점점 번지고 있는 추세다. 보안 업체 하이야(Hiya)가 발행한 보고서에 의하면 2023년 한 해 동안 이뤄진 전화 통화 중 28%가 사기 혹은 스팸을 위한 것이었다고 한다. 이런 통화 사기에 당한 피해자는 평균 2300 달러를 잃은 것으로 집계되기도 했다.
보안 업체 원패스워드(1Password)의 안나 포블레츠(Anna Pobletts)는 “피싱 공격의 진화가 여기까지 왔다는 것이 놀랍다”고 말한다. “언젠가 다중인증도 공격자들이 손쉽게 뚫어낼 거라고 예상을 하긴 했는데, 그 시기가 이렇게까지 빠르게 올 거라고는 상상하지 못했습니다. 이제 일부 다중인증 기능은 비밀번호만큼 약하다고 알려야 할 것 같습니다. 문자를 기반으로 한 다중인증만 믿다가 큰 피해를 입은 사례는 이미 충분히 쌓여 있습니다.”
그러면서 포블레츠는 “누구나 전화나 문자로 오는 요청은 거절부터 하고 보는 게 안전하다”고 주장한다. “상대를 개인적으로 알지 못하거나, 요청이 조금이라도 부자연스러우면 거절하는 게 상책입니다. 이번 캠페인의 경우 잘 생각해보면 피해자가 갑자기 어마어마한 양의 비밀번호 변경 알림을 받는 것이나, 애플의 고객 센터에서 전화를 받는 것이나 부자연스럽다는 걸 알 수 있습니다. 아주 희미한 흔적이라도 수상함이 보인다면 거절하는 걸 습관화 하는 게 좋습니다.”
3줄 요약
1. 주요 인물들의 아이폰 장비 노리는 캠페인이 발견됨.
2. 최종 목표는 아이클라우드로 보임.
3. 목표 달성을 위해 공격자들은 기존 다중인증 공략법을 한 차례 진화시킴.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
