AI/로봇·드론/VR·AR

Nikkei Computer_2022.12.22 키워드 (p65)

프리하이잭 공격
Pre-hijacking Attacks

프리하이잭 공격은 특정 사용자의 계정을 해당 사용자가 작성하기 전에 해킹하는 공격 방법이다. 마이크로소프트의 연구자들이 2022년 5월 조사보고서를 발표하면서 새로운 사이버 공격 방법으로 주목받았다. '사전 납치 공격' 등으로도 불린다.

일반적인 계정 해킹 방법은 공격자가 어떠한 방법으로 훔친 정규 ID와 패스워드를 사용해 본인으로 위장해서 웹서비스 등의 계정을 해킹하는 것이다. 한편, 프리하이잭 공격은 공격 대상자의 이메일 주소를 사용해 사전에 공격 대상 서비스로 계정을 작성한 뒤 매복해 해킹하는 형태이다.

사이버 보안 기업인 S&J의 미와(三輪) 사장은 “공격 대상자가 향후 등록할 것 같은 서비스를 예측할 필요가 있기 때문에 최근, 화제가 되어 단번에 규모가 확대되고 있는 서비스 등이 타깃이 되기 쉽다”라고 지적한다.

-- 구체적인 공격 방법은 5가지 --
조사보고서에서는 5종류의 구체적인 프리하이잭 공격 방법을 소개했다. 그 중 하나인 ‘Unexpired Session Attack(실효되지 않는 세션 공격)’은 패스워드의 재설정 후에도 로그인 상태(세션)가 유지되는 등의 미비한 부분이 있는 웹 서비스를 노린다.

공격자는 공격 대상자의 이메일 주소로 이러한 웹 서비스의 계정을 만들어 로그인한 상태로 대기한다. 이후, 공격 대상자가 계정을 작성하려고 하면 '이 메일 주소는 이미 등록된 상태입니다' 등으로 표시된다. 공격 대상자는 '과거에 계정을 만들었는데 비밀번호를 잊어버렸다'라고 착각하고 비밀번호를 재설정해 사용을 시작. 그러면 공격자와 공격 대상자가 계정을 공유한 상태가 되어 해킹이 이루어진다.

'Classic-Federated Merge Attack(클래식 페더레이션 통합 공격)'이라는 방법도 있다. 공격 대상 서비스가 메일 주소 및 패스워드를 이용한 로그인과 소셜 로그인 양쪽에 대응하고, 계정의 관리 기능이 불충분한 경우에 악용된다. 공격자는 공격 대상자의 이메일 주소로, 공격 대상자는 소셜 로그인으로 각각 계정을 작성하면 양쪽 계정이 통합되어서 같은 계정에 들어갈 수 있는 상태가 되어 해킹이 이루어진다.

이 밖에도 ‘Trojan Identifier Attack(트로이 목마 ID 공격)’, ‘Unexpired Email Change Attack(실효되지 않는 메일 주소 변경 공격)’ ‘Non-verifying IdP Attack(비검증형 IdP 공격)’이라고 하는 방법들이 있다.

이러한 방법들도 공격 대상 서비스의 사양에 문제가 있는 경우에 해킹이 이루어진다. 사용자가 계정을 작성할 때 등록한 이메일 주소가 본인의 것인지에 대한 확인을 게을리한 경우 등이다. 계정 작성 시 지정된 이메일 주소로 확인 메일을 보내고 확인이 완료될 때까지 계정을 부여하지 않는다면 위험을 줄일 수 있다.

하지만, “여전히 메일 주소에 대한 확인을 하지 않고 등록이 이루어지는 웹 서비스들도 많다. 피해를 막으려면 사용자 자신도 이 사이트가 정말 안전하게 설계되어 있는지를 주시할 필요가 있다”(S&J의 미와 사장).

-- 끝 --

Copyright © 2020 [Nikkei Computer] / Nikkei Business Publications, Inc. All rights reserved.