자격증명 손상(Credential compromise)은 오랫동안 네트워크 보안 침해의 주요 원인 중 하나였다. 이에 따라 많은 기업에서 방어 수단으로 다중 인증(MFA)을 사용하고 있다. 모든 계정에 MFA를 활성화하는 게 가장 좋다. 하지만 공격자도 이를 우회할 방법을 찾고 있다.
인기 있는 (우회) 방법 중 하나는 자격증명이 손상된 직원에게 (해당 직원이) 짜증 나서 인증 앱을 통해 요청을 승인할 때까지 스팸처럼 MFA 인증 요청을 보내는 것이다. 이는 ‘MFA 피로(MFA fatigue)’라고 알려져 있으며, 최근의 우버 해킹에서도 사용된 간단하면서 효과적인 기법이다.
우버, 랩서스 그리고…
지난주 우버가 (또다시) 해킹을 당했다. 한 해커가 지스위트(G-Suite), 슬랙(Slack), 오픈DNS(OpenDNS), 해커원(HackerOne) 버그 현상금 플랫폼 등 우버의 몇몇 내부 시스템에 액세스한 것이다.
우버의 보안 연구원 케빈 비오몬트가 트위터에서 이번 사건이 자신의 소행이라고 주장한 해커와 나눈 대화를 공개했는데, 해당 해커는 다음과 같이 밝혔다. “[한] 직원에게 인증을 요청하는 푸시 알림을 1시간 넘게 반복적으로 보냈다. 그리고 왓츠앱(WhatsApp)으로 우버의 IT 부서라고 연락했다. 팝업창을 멈추고 싶다면 수락해야 한다고 말하자 그는 이를 수락했고, 내 장치를 추가할 수 있었다.”
이후 우버는 보안 사고 업데이트에서 피해자가 우버의 외부 계약자였으며, 기기가 맬웨어에 감염된 후 우버 자격증명을 도난당했다고 밝혔다. 이 회사는 해커가 다크웹에서 자격증명을 구매하고, MFA 피로 공격을 시도한 것이라고 분석했다.
이어 “공격자는 해당 계약자(피해자)의 우버 계정에 반복적으로 로그인을 시도했다. 그때마다 계약자는 2단계 로그인 승인 요청을 받았다. 처음에는 액세스가 차단됐지만 결국 계약자가 이를 수락했고, 공격자는 로그인에 성공했다”라고 회사 측은 설명했다.
아울러 우버는 공격자가 올해 마이크로소프트, 시스코, 삼성, 엔비디아, 옥타 등을 해킹해 유명세를 떨친 해커그룹 랩서스(LAPSUS$)와 관련된 것으로 보인다고 언급했다. 지난 3월 英 경찰은 해당 그룹의 일원으로 의심되는 16세에서 21세 사이의 용의자 7명을 체포했고, 그 이후 랩서스의 해킹 활동은 감소했지만 많은 연구진은 이 그룹에 더 많은 하위 그룹과 조직원이 있을 수 있다고 봤다.
우버는 랩서스가 과거 다른 피해 기업에도 유사한 기법을 사용했다고 전했다. 실제로 랩서스가 주장한 옥타 해킹은 사이텔(Sitel)의 자회사인 외부 기술 지원 업체 사익스 엔터프라이즈(Sykes Enterprise)에서 근무하는 지원 엔지니어를 표적으로 삼아 이뤄졌다. 이는 공격자가 새로운 위치에서 해당 엔지니어의 계정에 새 인증 요소를 추가하다가 요청이 거부되면서 감지됐다. 이 사례에서 MFA 피로도를 높이려고 했는지는 확실하지 않지만 텔레그램 스크린샷에서 랩서스의 해커들이 해당 기법을 논의하는 게 목격됐다.
이에 따르면 한 해커가 다른 해커에게 “스마트카드를 사용한 로그인은 MFA가 없다. 비밀번호를 사용한 로그인은 전화 또는 인증 앱을 통해 MFA가 이뤄진다. 이때 시도할 수 있는 통화 횟수에는 한계가 없다. 직원이 잠을 잘 새벽 1시에 100번 넘게 계속 전화하면 이를 수락할 가능성이 높다. 직원이 이를 수락하면 MFA 등록 포털에 액세스하여 다른 장치를 추가할 수 있다”라고 말했다.
다른 해커는 “심지어 마이크로소프트도 마찬가지다! 독일과 미국에서 동시에 직원의 마이크로소프트 VPN에 로그인할 수 있었고, 알아차리지도 못하는 것 같았다. 또 MFA를 2번이나 재등록할 수 있었다”라고 덧붙였다.
‘MFA 피로’가 휴먼팩터를 악용하는 법
사회 공학과 마찬가지로 MFA를 스팸처럼 만드는 공격은 사용자의 공격 벡터 교육 및 이해 부족을 기반으로 한다. MFA가 제대로 작동하게 하려면 균형이 필요하다. 엄격하게 무효화되는 세션은 빈번한 MFA 알림을 생성하여, 직원들이 피로를 느끼거나 과도하다고 생각할 수 있다. 이에 직원들은 알림을 그냥 클릭해 버리고 업무를 할 수 있다. 그 결과 MFA 피로 공격이 이뤄져 다수의 푸시 알림을 스팸처럼 받게 되면 이미 성가신 시스템이 오작동하고 있다고 생각하고, 이전과 마찬가지로 알림을 수락할 것이다.
보안 업체 고시큐어(GoSecure)의 연구진은 올해 초 “많은 MFA 사용자가 이런 유형의 공격에 익숙하지 않으며, 사기성 알림을 승인하고 있다는 사실을 모른다. 또는 알림이 사라지길 바라고 항상 유사한 알림을 승인하기 때문에 무슨 행동을 하고 있는지 알지 못한다. ‘알림 과부하’로 위협을 감지하지 못하는 셈”이라고 밝혔다.
반면에 MFA 정책이 너무 느슨해 인증된 세션이 오랫동안 유지되면 IP 변경 시 새 알림이 생성되지 않고, 새 MFA 기기 등록 시에도 경고가 발생되지 않으며, 예를 들어 이미 MFA를 통과한 인증 토큰이 도난당하는 상황에서 경고를 받지 못할 위험이 있다. 이런 맥락에서 옥타가 해킹을 당하긴 했지만 그래도 배울 점이 있다. 이 회사의 MFA 정책 중 일부는 효과가 있었고, 해커들이 새 MFA 장치를 계정에 등록하려 시도할 때 경고가 생성됐다.
‘MFA 피로’ 공격을 완화하는 법
기업들은 이 새로운 공격을 인지할 수 있도록 직원들을 교육하고, MFA 남용 가능성을 낮추기 위한 기술적 통제 장치를 마련해야 한다. 이를테면 사용 가능한 MFA 방법을 제한하고, MFA 요청에 속도 제한을 적용하며, 인증된 사용자의 위치 변화를 감지하면 위험 중 일부를 완화할 수 있다. 몇몇 인증 제공업체가 이러한 통제 장치를 제공하지 않는다면 고객이 요구해야 한다.
맨디언트(Mandiant)의 사고 대응 담당자 스티브 엘로비츠는 지난 2월 트위터에서 “MFA ‘푸시’ 알림을 남용하는 사례가 증가하고 있다”라며, “공격자는 사용자가 승인할 때까지 스팸을 보내고 있다. 푸시를 비활성화하거나 핀(PIN)이나 유비코(Yubico) 등을 사용하라. 계정당 푸시 시도 횟수에도 주의해야 한다”라고 말했다.
유비코는 FIDO 2 인증 프로토콜을 사용하여 인증 요청을 검증하고, 이를 애플리케이션에 안전하게 전송하는 USB 드라이브 등의 물리적 장치를 말한다. 최근의 우버 해킹 이후 엘로비츠는 OTP(일회성 비밀번호/핀)를 이상적인 보조 요소로 보긴 어렵지만 푸시보단 낫고, FIDO2 호환은 분명 최선의 선택이라고 덧붙였다.
비오몬트 또한 MFA 푸시 알림을 비활성화해야 하며, 아울러 애저 및 오피스 365 고객에게 마이크로소프트의 새로운 ‘숫자 일치(number-matching)’ MFA 정책을 활성화해야 한다고 조언했다. 올해 추가된 숫자 일치 옵션은 사용자가 인증 페이지를 통해 수신한 숫자를 인증 앱에 입력하도록 요구한다. 이는 사용자가 모바일 인증 앱에서 생성된 코드를 인증 페이지에 입력하는 OTP 방식과 반대다. 또 휴대폰에서 ‘예’만 클릭하면 인증된다는 푸시 알림을 하거나 아니면 랩서스 해커가 제안한 것처럼 한밤중에 전화하는 인증 프로세스보다 훨씬 더 안전하다.
사이버아크(CyberArk)의 레드팀 서비스 부문 VP 샤이 나하리는 “온갖 종류의 MFA 공격을 방어할 때 악의적인 활동이 간과되지 않도록 개인 프로필이 변경될 때마다 MFA를 의무화하고, 선제적인 위험 이벤트 검토를 구성하는 게 중요하다. 또한 SOC를 통해 사용자 행동 분석을 사용하여 비정상적인 활동이 감지되거나 의심스러운 IP 주소의 사용자 인증을 차단할 때 (이를) 알려주는 상황별 트리거를 설정할 수 있다”라고 전했다. ciokr@idg.co.kr