Medium - The FBI Warns That Multifactor Authentication Is Not as Secure as You Think
in Trend
Trend 파악을 Medium 기고문 요약 포스팅 - FBI는 다중 인증이 여러분 생각만큼 안전하지 않다고 경고했습니다; 해커들이 더욱 교활해지고 있습니다.
Photo: Philipp Katzenberger
회사의 크기에 상관없이 우리가 얼마나 심각한 사이버위협에 노출되어 있는지 모르는 사람은 없습니다. 몇년간 저희에게 자문을 해주는 전문가분은 사이버 공격을 막을 수 있는 가장 신뢰할 수 있는 방법이 다중인증,MFA를 사용하는 보안 소프트웨어를 사용하는 것이라고 했습니다.
이미 MFA에 익숙하실지도 모르겠습니다. 이것은 웹사이트에 패스워드로 로그인하더라도 추가적인 인증이 필요한 것으로 주로 PIN을 휴대폰으로 보냅니다. 만약 해커가 패스워드를 알아내더라도 여러분의 핸드폰이 있어야 하는거죠. 그러니까 MFA는 정말 안전하지 않겠어요?
그런데 사실은 그렇지 않답니다. 지난달 FBI는 MFA를 사용하는 기업들에게 경고를 했습니다. ZDNet 기사에 따르면 담당자는 조직에 대한 위협이 증가하고 있고 직원들을 이용해 MFA를 우회할 수 있다고 말했습니다.
어떤 종류의 위협일까요? 주로 3가지 방법이 가장 잘 알려져있습니다.
첫번째는 SIM swap입니다. 이것은 해커가 여러분에 대한 충분한 정보를 가지고 있어서 회사에 여러분인것마냥 전화를 해서 그들에게 여러분의 정보가 포함된 SIM(subscriber identity module)카드가 있는 여러분의 전화를 그가 가지고 있는 것으로 변경하길 요구한다는 것입니다. 이렇게 하면 그는 자신의 핸드폰으로 MFA코드가 있는 메시지를 받게되고 여러분의 계정에 접근할 수 있습니다.
두번째는 웹사이트 조작입니다. 웹사이트가 적절하게 설계되지 않으면 영리한 해커가 PIN을 요구하는 로그인 페이지의 구성을 알아내어 원래 계정 주인의 자세한 정보를 바로 입력하여 거래를 수행하는 것입니다.
세번째는 간단히 social engineering으로 해커가 우리와 같은 사람들을 속여서 전달하면 안되는 정보를 보내게 하는 것입니다. 이것은 몰래 우리를 피싱사이트로 유도하거나 생체정보를 제공하는 가짜 웹사이트, 쿠키나 악성 코드를 다운받게 해서 나중에 패스워드가 바뀌거나 복구되는 이메일이 있는 온라인 세션을 가로채는데 사용됩니다.
이것 모두가 짜증나고 끔찍한 일이지만 좋은 소식이 있습니다. 보안 관련 전문가들과 FBI는 계속 MFA를 쓰라고 권장합니다. 왜냐면 지금으로는 그게 가장 최선의 방법이기 때문입니다.
ZDNet의 보고서가 FBI는 다음과 같이 말했습니다. “다중 인증은 계속 견고해지고 있고 온라인 계정을 효율적으로 지키는 수단입니다. 사용자들이 이런 공격의 피해자가 되기전에 사전 경고를 받을 수 있기 때문입니다.”
유명 테크회사도 동의했습니다. MS는 최근에 MFA의 공격은 일상적인 일이 아니기 때문에 통계도 할 필요가 없다고 했습니다. 구글 연구원들은 간단히 복구 전화번호를 계정에 추가하는 것으로 100% 자동화 봇을 막을 수 있고 99%의 추가적인 피싱 공격을 막을 수 있으며 66%의 목표 공격이 발생한다고 했습니다.
우리가 이런 위협을 받지 않은 이유는 공격이 자동화가 되지 않기 때문에 많은 노력이 들기 때문입니다. 물론 거대 기업같은 곳은 그럴만한 가치가 있겠지만 우리와 같은 일반인들에게는 랜섬웨어와 같은 멀웨어가 더욱 효율적이기 때문입니다.
그러나 중요한 것은 지금입니다.
그러니까 MFA를 여러분의 모든 회사 응용프로그램의 솔루션으로 적용하세요. 그리고 가능한한 가장 강력한 도구를 사용하세요. 그러나 방심하진 마세요, 장담컨데 해커들은 더욱 발전하고 이 공격을 자동화하는 방법을 찾는 순간 MFA는 점점 더 쉬운 먹잇감이 될 것입니다.
Summary
- 다중인증을 사용해도 해커들이 그것을 우회하는 대표적인 3가지 방법이 있다. (APT와 관련된 형태)
- 그러나 현재로서는 다중 인증이 가장 안전한 방법이다; 그래서 다중인증을 사용하는게 그나마 차선책이다.
- 일반 개인을 타겟으로 APT를 하기에는 이득 볼 일이 없으니까 해커들이 공격을 많이 시도하지 않는다.