전기전자/정보통신

Nikkei Network_2022.10 특집 요약 (p42-45)

'다요소 인증'을 깨는 대규모 피싱
Microsoft 365를 이용하는 1만 개 기업을 습격

미국 마이크로소프트는 2022년 7월 중순, 대규모 피싱 공격(피싱 사기)이 벌어지고 있다며 주의를 당부했다. Microsoft 365(구칭 Office 365)를 이용하는 기업이나 조직이 대상이다. 2021년 9월 이후 1만 개 이상의 기업과 조직에 대한 공격이 이뤄지고 있다고 한다.

피싱 사기는 패스워드나 신용카드 번호 등 개인정보를 탈취하는 인터넷 사기를 말한다. 실재하는 기업이나 조직이 보낸 것처럼 가장한 메일로 공격자의 웹사이트로 유저를 유도해 개인정보를 입력하도록 한다.

피싱 공격의 특징은 대규모인 데다 다요소 인증(MFA(Multi-Factor Authentication))을 깨고 침투한다는 점이다. 공격자는 다요소 인증을 깨고, 정규 유저의 메일 계정 등을 탈취한다. 도대체 어떻게 다요소 인증을 깨는 것일까?

-- 안전성을 높였는데도 파괴되다 --
사내 시스템과 달리 클라우드 서비스에는 인터넷을 통해 누구나 접근할 수 있다. 따라서 정규 유저인지 아닌지를 확인하는 유저 인증이 매우 중요하다.

그래서 메일 등 클라우드 서비스를 이용하는 기업 중 일부는 다요소 인증을 채택하고 있다. 다요소 인증이란 인증할 때 복수의 정보(인증 요소)를 사용하는 유저 인증 방법이다.

대표적인 다요소 인증 중 하나가 패스워드와 원타임 패스워드를 사용하는 방법이다. 어떤 웹사이트에 로그인하려면 유저는 유저ID와 패스워드를 입력한다.

그러면 그 웹사이트에서는 미리 등록되어 있는 전화번호로, 일정 시간만큼 유효한 숫자열(원타임 패스워드)을 SMS 등으로 전송한다. 이 원타임 패스워드를 입력하면 서비스에 로그인할 수 있다.

즉 패스워드를 알고 있고, 게다가 전화번호를 등록한 스마트폰을 소지하고 있는 유저만 로그인할 수 있는 것이다. 이 때문에 패스워드만 필요한 유저 인증보다 안전성을 크게 높일 수 있다. 하지만 완벽한 것은 아니다. 이번 피싱 공격은 이와 같은 다요소 인증을 깨고 침입한다.

-- 원타임 패스워드를 중계 --
다요소 인증을 깨는 피싱 공격의 흐름은 다음과 같다.

공격자는 가짜 메일을 정규 유저에게 보내 가짜 사이트(피싱 사이트)로 유도한다. 일반적인 피싱 공격과 같다. 피싱 사이트는 Microsoft 365의 로그인 사이트로 가장하고 있다.

유저가 피싱 사이트에 패스워드를 입력하면, 해당 패스워드를 사용해 피싱 사이트가 진짜 웹사이트에 로그인을 시도한다.

패스워드가 올바른 경우, 진짜 웹사이트는 등록한 전화번호로 원타임 패스워드를 송신하고, 그와 동시에 그 원타임 패스워드의 입력을 요구한다. 피싱 사이트는 그 요구를 정규 유저에게 중계한다.

그럼 유저는 스마트폰에 도착한 원타임 패스워드를 피싱 사이트에 입력하고, 피싱 사이트는 그것을 사용하여 진짜 사이트에 로그인한다.

이러한 공격은 중간자 공격이나 MITM(Man-In-The-Middle) 공격이라고 부른다. 정규 유저와 진짜 사이트 중간에 공격자가 끼어들기 때문이다. 마이크로소프트는 AiTM(Adversary-in-The-Middle) 피싱이라고 부르고 있다.

또한 중간자 공격 자체는 새로운 공격이 아니다. 전형적인 사이버 공격 중 하나다. 보안 조직인 미국 SANS Institute에서 시니어 인스트럭터를 맡고 있는 랜스 스피츠너(Lance Spitzner)는 "20년 가까이 전부터 존재해 온 공격이다. 다요소 인증을 깨는 데 특화된 공격은 아니다"라고 말했다.

-- 사칭 메일로 금전을 편취 --
이번 피싱 공격의 최종 목적은 비즈니스 메일 사기(BEC(Business Email Compromise))라고 한다. 비즈니스 메일 사기란 거래 상대 등으로 위장해 금전을 입금하도록 유도하는 사기를 말한다.

Microsoft 365에 부정하게 로그인한 공격자는 로그인 상태를 유지한 채 메일 서비스(Exchange Online)에 접속해, 유저가 주고받고 있는 메일을 조사한다. 그리고 지불 등에 관한 메일을 발견하면 그 사이에 끼어들어 가짜 청구서 등을 보낸다.

다만 공격자가 악용하는 메일 계정은 정규 유저도 이용한다. 때문에 비즈니스 메일 사기가 들키지 않도록 메일 처리 룰을 설정한다.

예를 들면 ‘발신자 주소’에 ‘비즈니스 메일 사기로 속이려고 하는 상대방의 도메인 이름’이 포함된 수신 메일은 ‘아카이브’ 폴더로 모두 이동시키고, 이미 읽은 상태로 표시하는 룰을 설정한다. 또한 ‘발송된 아이템’ 폴더와 ‘삭제된 아이템’ 폴더에서도 비즈니스 메일 사기와 관련된 메일을 삭제한다.

마이크로소프트의 조사에 따르면, 피싱 공격으로 부정 로그인한 후 불과 5분 만에 비즈니스 메일 사기 메일을 보내기 시작한 케이스가 있었다고 한다. 그리고 1개의 메일 계정에서 복수의 비즈니스 메일 사기를 동시에 시도한 경우도 있었다.

-- '피싱 내성 MFA' 이용을 --
AiTM 피싱 대책의 하나로서 마이크로소프트는 ‘FIDO2(Fast IDentity Online 2)’의 이용을 들고 있다.

FIDO2란 패스워드가 필요 없는 인증방법(인증규격) 중 하나다. 공개키 암호방식에 근거하고 있어 정규 유저와 진짜 사이트 사이에 끼어들어도 부정 로그인에 필요한 정보를 훔칠 수 없다. 그래서 FIDO2와 같은 인증 방법은 피싱 내성 다요소 인증(피싱 내성 MFA)이라고 부른다.

이 외의 대응으로는 특정 단말이나 IP 주소 이외에서는 로그인할 수 없도록 하는 ‘조건부 액세스 정책’의 적용도 들고 있다.

이번에 소개한 AiTM 피싱은 원타임 패스워드를 사용하는 다요소 인증을 깨고 침입해 비즈니스 메일 사기를 시도하는 무서운 공격이다.

그렇다고 원타임 패스워드를 통한 다요소 인증이 무의미한 것은 아니다. 앞에서도 언급했지만 패스워드만 사용하는 유저 인증보다 안전성은 높다.

원타임 패스워드는 FIDO2 등보다 구현하기가 쉽다. 때문에 클라우드 서비스를 패스워드 인증만으로 이용하고 있는 기업은 우선 원타임 패스워드 이용을 검토하기 바란다.

패스워드만 사용하는 인증은 언제라도 공격을 당할 수 있다. 잇따른 부정 로그인 피해가 그것을 증명하고 있다.

 -- 끝 --

Copyright © 2020 [Nikkei Network] / Nikkei Business Publications, Inc. All rights reserved.