블로그

MFA가 계정 인수 위협을 해결합니까?

짐 다우니 썸네일
짐 다우니
2023년 6월 26일 게시

자격 증명 채우기를 통해 계정 인수 사기를 실행하려는 범죄자에게는 다중 인증(MFA)이 장애물로 작용하지만, 공격자들은 MFA를 우회하는 방법을 발견해냈으며, 이는 MFA 자체만으로는 계정 인수 위협을 제거할 수 없다는 것을 의미합니다. 기업에서는 MFA 보안을 강화하기 위해 봇 완화 및 상황에 따른 위험 모니터링을 포함하여 추가 조치를 취해야 합니다.

약점에도 불구하고 MFA는 비밀번호 전용 인증이 명백히 실패했기 때문에 큰 진전입니다. 인간은 긴 문자열을 기억할 수 없기 때문에 간단하고 예측 가능한 비밀번호를 선택하고 여러 애플리케이션에서 비밀번호를 재사용하는 등의 지름길을 택하는데, 이 모든 것이 많은 보안 침해로 이어졌습니다.

그러나 비밀번호가 실패하고 MFA가 도입되면서 다음과 같은 MFA에 대한 공격이 증가하는 것을 보았습니다.

실시간 피싱 프록시

실시간 피싱 프록시(RTPP) 공격에서 사기꾼은 피싱 메시지를 사용하여 사용자를 속여 신뢰할 수 있는 사이트처럼 보이는 공격자가 제어하는 사이트를 방문하게 한 후, 사용자가 자격 증명을 입력하고 SMS 메시지든 푸시 알림이든 2차 인증 요청을 승인하도록 유도합니다. RTPP는 자격 증명을 대상 앱에 전달하고 액세스 권한을 얻습니다. 공격 데모를 보려면 해커이자 보안 컨설턴트인 케빈 미트닉이 만든 이 비디오를 시청하고, 실시간 피싱 프록시의 성장에 대한 배경 정보를 알아보려면 F5 Labs 피싱 및 사기 보고서를 참조하세요.

MFA 폭격

MFA 폭격 공격에서 공격자는 코드에 대한 여러 가지 사기성 요청을 보내서 대상에게 인증 코드를 제공하도록 속입니다. 이 방법은 푸시 알림 에 의존하는 인증자 앱에 가장 효과적입니다. 사용자가 버튼 하나만 눌러 요청 홍수를 쉽게 중단할 수 있기 때문입니다. 공격자는 때때로 MFA 폭격과 사회 공학을 결합하여 사용자가 푸시 알림을 수락하고 액세스 권한을 부여하도록 유도합니다.

생체 인식 스푸핑

공격자는 생체 인증도 우회했습니다. 결국, 우리는 만지는 거의 모든 매끄러운 표면에 우리의 지문을 남기고 3D 프린터부터 젤리곰 재료 에 이르기까지 무엇이든 사용하여 그 지문을 수집하고 복제할 수 있습니다. 보안 연구원들은 얼굴음성 인식과 홍채 스푸핑도 시연했습니다. 공급업체는 우회 시도를 감지하기 위해 생체 확인과 같은 스푸핑 방지 기술을 개발했지만 공격자가 최첨단 기술을 발전시키면서 모든 생체 인식 장치가 취약해질 가능성이 있습니다.

SIM 스와핑

SIM 스와핑은 사기꾼이 서비스 제공자가 전화번호를 다른 기기로 전송할 수 있는 기능을 악용하는 행위입니다. 사기꾼은 피해자의 개인 정보를 수집한 후 지원 담당자에게 소셜 엔지니어링을 적용하여 피해자의 전화번호를 사기꾼의 SIM으로 전송합니다. 사기꾼은 피해자의 전화 서비스를 통제하여 사용자에게 전송되는 문자 메시지를 받고, 이를 통해 일회용 비밀번호(OTP)를 가로채 MFA를 우회할 수 있습니다.

MFA 보안 강화

MFA는 비밀번호 전용 인증보다 상당히 개선된 방식이므로 앞으로도 계속 사용될 것이고, 사이버보안 실무자들은 이 기술의 취약점을 해결해야 합니다.

좋은 시작 방법은 봇을 완화하는 것입니다. 공격자는 비밀번호 재사용을 악용하여 봇을 배포하여 도용한 자격 증명을 로그인과 테스트합니다. 이는 OWASP에서 자격 증명 스터핑 으로 정의한 기술로, MFA의 첫 번째 요소를 통과하는 데 사용됩니다. 공격자는 RTPP 공격에 봇을 사용하여 만료되기 전에 OTP를 대상 사이트로 전달합니다. MFA 폭격 역시 봇에 의존하는 자동화된 공격입니다. 효과적인 봇 관리 솔루션을 통해 보안팀은 공격자가 MFA 우회 기술을 확장하는 데 의존하는 중요한 도구를 제거할 수 있습니다.

MFA의 취약성을 완화하는 또 다른 방법은 맥락적 위험을 고려하는 것입니다. 문맥적 위험은 사용자의 IP 주소, ISP, 위치, 시간대, 기기, 액세스한 기능, 동작에 따라 결정될 수 있으며, 이러한 모든 요소는 사용자가 애플리케이션을 사용할 때 위험 점수를 계산하는 데 사용될 수 있습니다. 점수가 높을수록 인증 요구 사항이 엄격해지며, 결국 계정이 비활성화될 수 있습니다.

다음 단계

비밀번호의 종말을 선언하는 목소리가 높아지고, 새로운 MFA 기술이 인증을 완전히 안전하게 만들 것이라는 과장된 광고도 늘어날 것으로 확신하지만, 결의에 찬 공격자가 새로운 구현을 우회할 방법은 여전히 존재할 것이므로 MFA의 취약성을 계속 분석하고 완화해야 할 것입니다. MFA가 계정 인수를 방지하기 위한 첫 단계에 불과한 이유에 대한 더 자세한 분석은 새로운 F5 백서를 참조하세요. F5와의 파트너십을 통해 MFA를 확보하는 동시에 고객 경험을 최적화할 수 있습니다. F5 분산 클라우드 서비스 에 대해 자세히 알아보고 당사 팀과 상담을 신청하세요 .