강은성의 보안 아키텍트ㅣ2단계 인증(2FA)을 통과하는 사회공학

2022.10.12 강은성 | CIO KR

지난 8월 10일 세계적인 네트워크 장비 기업이자 보안 전문 기업인 시스코(Cisco)는 올해 5월 24일 회사의 IT 인프라를 표적으로 한 공격이 발생했음을 발견하고 즉각 대응하여 제거했다고 밝힌 바 있다.

시스코에 따르면 공격자는 시스코 직원의 개인 구글 계정을 장악하여 직원의 크롬 브라우저에 저장되어 동기화된 회사의 자격증명을 확보했다. 그 뒤 공격자는 직원에게 다단계 인증 푸시 알림을 수락하도록 며칠 동안 이 직원이 신뢰할 만한 조직을 사칭하여 국제 억양과 사투리로 직원에게 전화를 걸었고, 결국 성공하여 CiscoVPN을 통해 내부에 침입하였다.

그림 1. 보이스 피싱을 통한 2단계 인증 통과 ⓒhttps://purplesec.us/security-insights/cisco-cyber-attack/

기술적으로 뚫리기 쉽지 않은 2단계 인증이 보이스 피싱으로 뚫린 것은 다소 허망한 면이 없지 않다. 하지만 시스코의 보고서에 나오는 대로 ‘신뢰할 만’하게 보이는 국제단체인 것처럼 위장하고 계속 전화를 걸면 귀찮아서든 실수로든 푸시 알림을 한 번쯤 누를 수도 있을 법하다(필자는 Google Authenticator를 테스트해 보기 위해 푸시 알림에 ‘아니오’를 눌렀다가 고생한 경험이 있다).

지난 9월 5일 세계 굴지의 호텔그룹 인터컨티넨티탈호텔그룹(IHG)의 자회사 홀리데이인호텔이 사이버 공격을 받아 2주일 정도 예약시스템 등 주요 IT시스템이 중단됐다. 자신을 TeaPea라고 지칭한 범인은 9월 17일 텔레그램을 통해 BBC와 연결됐을 때, 피싱 메일에 악성코드를 첨부하여 회사 내부에 침입하였으며, 2단계 인증 코드(2FA)를 캡처하여 2FA를 우회했고, IHG의 가장 민감한 컴퓨터시스템은 패스워드 ‘Qwerty1234’(!)로 접속하였다고 주장했다.

기사만으로는 IHG에서 2단계 인증이 우회된 경위가 분명해 보이지는 않으나, 이와 비슷한 내용을 한국인터넷진흥원(KISA)에서 제시한 적이 있다.

그림 2. 피싱 메일 및 피싱 페이지를 통한 2단계 인증 우회 ⓒ한국인터넷진흥원, 「TTPs#4. 피싱 타깃 정찰과 공격 자원 분석」, 2020.12.

위 시퀀스 다이어그램을 보면, 피싱 메일을 받은 직원은 메일 본문에 있는 로그인 피싱 페이지에 접속하여 ID와 비밀번호를 입력하고, OTP(One Time Password)까지 입력한다. 공격자는 이를 사용하여 회사의 2단계 인증을 통과한다.

마이크로소프트, 엔비디아(Nvidia), 옥타(Okta) 등 세계 유명 기업을 해킹한 랩서스(Lapsus$)는 기술적인 공격 방법보다 오히려 사회공학을 적극적으로 활용했다. 이들은 침입하기 전에 자신들이 운영하는 채널에서 목표로 삼은 기업의 직원이나 내부자를 채용하거나 자격증명, 다중 인증 우회에 필요한 정보를 구매하기도 하였다.

그림 3. 공격 대상 회사의 접근 권한을 제공할 인력을 구하는 랩서스의 광고 ⓒ마이크로소프트

마이크로소프트에 따르면, 랩서스는 기업에 침입한 뒤 권한 상승을 하는 데에도 사회공학을 이용했다. 예를 들어 헬프데스크 직원에게 전화해서 특수권한자의 자격증명을 리셋해 달라고 시도했는데, 특히 헬프데스크 직원은 주로 외주 인력이어서 정규 직원의 요구를 거절하기가 쉽지 않을 수도 있다. 헬프데스크에 보안 관련 기능을 갖고 있다면, 기업 보안의 약한 고리가 될 수 있는 것이다.

그 밖에도 로그인에 OTP를 적용했으나, 이를 우회하는 로그인 경로가 존재하여 OTP 자체가 무의미해진 경우도 있다. 9월 말 국내 게임 서비스에서 OTP를 설정한 게임 이용자들이 아이템을 탈취당한 사건이 그 사례다.

기술적으로 볼 때 이메일은 OTP를 전달하기에는 적합하지 않고, 문자메시지 역시 보안 수준이 높다고 보기 어렵다. 구글 OTP에서 백업 코드를 사용한다면, 그것을 탈취당하지 않도록 안전하게 보관해야 OTP의 보안 수준을 유지할 수 있다.

모바일 OTP 앱을 사용한다면 스마트폰에 대한 관리 역시 기업 보안의 범위로 포함할 필요가 있다. 간단한 생체인증으로 보안성과 사용의 편리성을 추구한 FIDO(Fast IDentity Online) 기반의 ‘간편 인증’ 역시 추가 인증수단으로 검토해 볼 만하다.

외부의 공격으로부터 개인정보, 산업기밀, 금융정보 등 기업의 중요 정보를 보호하기 위한 핵심 대책으로 2단계 인증은 여전히 가성비 좋은 보안 대책이다. 다만 사회공학의 종류와 신고 및 대응 방안에 대한 임직원 교육, 업무 매뉴얼 반영을 통해 사회공학에 대비하고, 사용자 인증 체계를 종합적으로 살펴 약한 고리를 제거해야 2단계 인증의 효과를 누릴 수 있다.

* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여자대학교 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기

강은성 강은성의 보안 아키텍트 2단계 인증 2FA 사회공학 시스코 구글 악성코드 피싱 랩서스 소셜 엔지니어링 OTP

“유료 VPN, 분명한 가치 있다” VPN 선택 가이드

VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인 정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.

평점 - 댓글 -개

평점