일본산업뉴스요약

패스워드를 탈취당해도 침입을 막을 수 있다
랜섬웨어 공격 대책에 불가결한 ‘다요소인증’ 1부

랜섬웨어 공격에 의한 피해가 전 세계적으로 확산되고 있다. 일본도 예외는 아니다. 예를 들면, 올 9월, 아사히그룹홀딩스가 랜섬웨어 공격을 받아 일부 업무가 정지. 국내 약 30개 공장 대부분이 일시적으로 출하할 수 없는 상황에 직면했었다. 10월에는 통신판매 대기업 아스쿨이 랜섬웨어 감염에 의한 시스템 장애가 발생했다고 발표. 수주 및 출하 업무를 정지했다.

이젠 어떤 기업도 랜섬웨어 공격의 표적이 될 수 있기 때문에 대책 마련이 반드시 필요하다. 이를 위해서는 무엇보다 랜섬웨어 공격을 이해하는 것이 중요하다. 그래서 본 특집에서는 서적 ‘‘랜섬웨어 공격과의 싸움 방법’ 시큐리티 담당자가 되면 읽어야 하는 책’(닛케이 BP)에서 발췌한 내용을 기반으로 랜섬웨어 공격에 대한 대책의 기본을 해설한다. 이번 제3회에서는 인증정보를 탈취당하더라도 침입을 막을 수 있는 대책에 대해 소개한다.

탈취된 인증정보(패스워드 등)에 의한 침입을 막기 위해서는 다요소인증(MFA: Multi-Factor Authentication) 도입이 불가결하다. 다요소인증이란, 인증 시에 복수의 정보(인증 요소)를 사용하는 유저 인증 방법이다. 인증 요소에는 ‘지식정보’, ‘소지(所持)정보’, ‘생체정보’ 등, 3 종류가 있다.

지식정보는 패스워드나 ‘보안 질문’ 등, 기억해야 하는 정보이다. 하지만, 정보를 아는 사람이라면 누구나 유저 인증을 통과할 수 있다. 지식정보를 사용하는 유저 인증은 가장 저렴하고, 사용하기 쉽지만, 지식정보는 얼마든지 공유될 수 있기 때문에 보안 수준이 낮다.

소지정보는 유저가 물리적으로 소유하고 있는 것에 포함되어 있는 정보이다. 보안키(보안토큰)나 스마트폰 등이 해당된다. 엄밀히 말하면, 보안키에 포함되어 있는 키나, 스마트폰으로 송신되는 일회용 비밀번호(OTP) 등이 소지 정보이다. 이것들을 물리적으로 소유하고 있는 사람만이 알 수 있는 정보이다.

생체정보는 지문이나 얼굴 등 생체에 관련된 정보이다. 본인 고유의 정보이기 때문에 생체정보를 사용한 인증에서는 위장이 매우 어렵다.

-- 등록된 휴대폰 번호로 패스워드 송신 --
대표적인 다요소인증 방법 중 하나가 패스워드와 OTP이다. 어떤 서비스(또는 웹사이트)에 로그인하고 싶은 유저는 유저 ID와 패스워드를 입력한다. 그러면 사전에 등록되어 있는 휴대폰 번호에 일정 시간 동안 유효한 숫자열(OTP)이 그 웹사이트로부터 SMS 등을 통해 송신된다. 이 OTP를 입력하면 서비스에 로그인할 수 있다.

즉, 패스워드를 알고 있고, 휴대폰 번호가 등록된 스마트폰 등을 소지하고 있는 유저만이 로그인할 수 있는 것이다. 이 때문에 패스워드뿐인 유저 인증보다 큰 폭으로 안전성이 향상될 수 있다.

하지만, 이것이 100% 안전한 것은 아니다. OTP가 사용된 다요소인증을 뚫는 공격 수법이 최근 등장하고 있기 때문이다.

그 구체적인 절차는 다음과 같다. 공격자는 가짜 메일을 정규 유저에게 보내 가짜 사이트(피싱 사이트)로 유도한다. 여기까지는 일반적인 피싱 공격과 동일하다. 유저가 피싱 사이트에 패스워드를 입력하면 그 패스워드를 사용해 피싱 사이트가 진짜 웹사이트에 로그인을 시도한다.

패스워드가 올바른 경우, 진짜 웹사이트는 등록되어 있는 휴대폰 번호나 메일 주소로 OTP를 송신하고, 그 OTP 입력을 요구한다. 피싱 사이트는 그 요구를 정규 유저에게 보낸다.

유저는 스마트폰에 도착한 OTP를 피싱 사이트에 입력. 피싱 사이트는 그것을 사용해 진짜 사이트에 로그인한다. 이러한 공격은 중간자 공격으로 불린다. 정규 유저와 진짜 사이트의 중간에 공격자가 끼어들기 때문이다. MITM(Man-In-The-Middle) 공격, AITM(Adversary-in-The-Middle) 피싱, 실시간 피싱 등으로도 불린다.

-- 끝 --

Copyright © 2025 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.