[데이터넷] “혹시 인증번호 받으신거 없나요. 저번에 그 번호 주인인데, 계정에 번호를 안 바꿔서.. 죄송합니다. 제발 보셨다면 답장 부탁드릴께요. 진짜 계정을 찾고 싶어요.”

휴대폰 인증 문자를 수신 한 후 이 같은 내용의 문자를 받았을 때 인증 번호를 발신인에게 전달하는 사람들이 꽤 많을 것이다. 이는 전형적인 2차인증 회피 수법으로 ID/PW를 탈취한 공격자가 2차인증까지 통과해 정상 사용자처럼 행동하면서 공격을 이어갈 수 있다.

이진원 F5코리아 이사는 <데이터넷TV>를 통해 진행한 웨비나 ‘비즈니스에 영향을 미치는 중요한 사이버 보안에 대한 오해와 진실’에서 이와 같은 예시를 소개하면서 정상 사용자처럼 위장해 침해를 시도하는 진화하는 공격 사례와 대응 방안에 대해 설명했다.

캡챠·MFA 우회하는 공격자

이진원 이사는 비정상 사용자의 접근을 탐지하는 방법으로 가장 잘 알려진 4가지 기술에 대한 오해를 지적하는 것으로 웨비나를 시작했다.

첫번째 오해는 캡챠(CAPCHA)를 사용하는 방식이다. 캡챠는 웹 서비스에 로그인하는 사용자가 자동 봇인지 아닌지 확인하기 위해 선택하는 가장 간편한 방식으로, 화면에 나타나는 문자·숫자를 입력하거나 여러 이미지 중에서 특정한 이미지를 선택하는 방식으로 정상 사용자인지 여부를 확인한다.

캡챠는 사용자를 불편하게 하는데, 너무 심하게 왜곡된 이미지를 주거나 헷갈리는 이미지를 주어서 정상 사용자도 접근하지 못하게 할 수 있다. 반면 공격자는 이를 쉽게 우회할 수 있는데, 무료 혹은 저가로 제공되는 툴을 이용하거나 직접 사람을 고용해서 우회할 수 있다.

사용자를 확인하기 위해 SMS·SNS, 이메일 등 이차인증·다중인증(2FA·MFA)를 사용하는 경우가 많다. 특히 기존에 탈취한 계정 정보를 이용해 웹서비스에 로그인하고 추가 정보를 수집하는 크리덴셜 스터핑을 막기 위해 MFA를 권고한다. 그러나 MFA도 우회 가능하다. 지난해 닌텐도는 고객에게 2차인증을 사용해 계정을 보호할 것을 권고했는데도 30만건의 고객계정을 도난당하는 피해를 입었다.

MFA를 우회하는 방법은 다양하다. 앞서 소개한 것 처럼 사용자에게 직접 인증번호를 알려달라고 할 수 있고, 비밀번호를 잊어버렸을 때 재설정하는 과정을 악용해 이메일이나 SNS 계정으로 비밀번호 재설정 링크를 받을 수 있다.

이러한 방법은 0.1~3%의 공격 성공률을 보이는데, 공격자는 자동화 봇을 이용해 대량의 계정에 대해 공격하기 때문에 이 같은 공격 성공률은 결코 낮은 것이 아니다.

이진원 이사는 “만일 공격자가 100만건의 계정정보를 이용해 크리덴셜 스터핑 공격을 한다면 0.1% 성공률일 때 1000건의 계정을 탈취할 수 있다. 1000건의 정상 사용자 계정으로 피싱·스피어피싱, 금융사기, APT 등 많은 공격이 가능하다”며 “MFA는 계정탈취를 어렵게 할 수 있찌만, 악의적인 온라인 사기를 완벽하게 방어하지 못한다”고 지적했다.

범죄그룹, 사람 고용해 정상 사용자로 위장

서비스 접속을 시도하는 위치가 평소 사용자가 접속하지 않는 지역이거나 보안 정책 상 차단된 지역에서의 접속 시도, 봇에 의한 접속 시도 등을 감지해 차단하는 정책도 사용한다. 그러나 이 방법도 우회 가능하다. 공격자는 VPN·프록시 등을 이용해 접속 지역을 속인다.

아주 빠르게 타이핑을 하거나 공격자와 유사한 패턴으로 접속을 시도하거나 웹 페이지를 호핑하는 등의 행위를 보였을 때 차단하는 악성 봇 차단 기술이 있다. 공격자는 이를 우회하기 위해 사람과 동일한 속도로 타이핑하고, 일부러 오타를 내기도 하며, 정상 사용자가 하는 것과 유사한 페이지 탐색을 이어간다. 때로 직접 사람들을 고용해 직접 웹 페이지에 접속해 공격을 시도하기도 한다.

이 같은 악성 트래픽은 전체 트래픽의 극히 일부다. 주로 악용되는 페이지는 로그인 페이지, 임시 비밀번호 설정과 같은 한 번 사용되고 사라지는 페이지, 이벤트 페이지 등이다. 이러한 페이지에 대해서 보안을 강화하면 된다고 생각하지만, 이러한 페이지에 너무 많은 공격 트래픽이 몰린다는 것이 문제다. F5가 진단한 바에 따르면 로그인 페이지의 98%가 공격트래픽이었다.

F5가 탐지한 한 사이트의 경우, 가입자가 많지 않은 서비스를 제공하고 있었는데 하루 100만건이 넘는 로그인 시도가 발견됐다. 그 만큼 악성 로그인 시도가 많다는 설명이다. 이 처럼 비정상 트래픽이 발생했을 때, 웹방화벽에 차단 룰을 업데이트하고 공격에 대응할 수 있다. 많은 웹방화벽 솔루션이 AI를 이용해 비정상 사용자와 공격자의 접속을 탐지하고 대응할 수 있다고 강조한다.

그러나 웹방화벽은 사용자의 웹 경험에 직접적으로 영향을 줄 수 있기 때문에 차단 룰을 쉽게 바꿔 적용할 수 없다. 정상 사용자의 접근까지 차단하면 서비스 신뢰도에 영향을 줄 수 있기 때문이다. 또 공격이 탐지된 후 대응하는 방식은 이미 진행한 공격을 막을 수 없다는 문제도 있다.

이진원 이사는 “공격자의 입장에서 생각하는 것이 필요하다. 공격자는 웹방화벽과 같은 웹 보안 솔루션을 우회하는 방법을 알고 있다. 그리고 많은 수익을 얻을 수 있다면 직접 사람을 고용해서 공격을 하는 방법으로 공격 성공률을 높이면서 비용을 효율적으로 사용한다”며 “공격자는 80%의 알려진 방법과 20%의 알려지지 않은 방법을 사용한다. AI를 사용해 공격 툴과 공격 방식을 수시로 바꾸눈 알려지지 않은 공격까지 대응할 수 있는 방법이 필요하다”고 말했다.

지능적이고 정교한 접근, AI로 탐지·대응

F5는 서비스로 제공되는 ‘쉐이프(Shape)’ 솔루션이 진화하는 악성봇과 지능적인 사기 공격에 대응할 수 있다고 소개한다. 2019년 쉐이프시큐리티를 인수하고 F5 서비스 제품에 포함시킨 쉐이프 제품군은 사용자 환경과 행동 특징, 네트워크 환경을 AI로 분석해 비정상 접근을 차단한다.

쉐이프 솔루션의 탐지 기술 몇 가지를 소개하면, 웹 서비스 접근을 요청하는 사용자의 브라우저를 분석하고 정상 사용자 브라우저라면 반드시 설치돼 있어야 하는 플러그인이나 스크린 사이즈, 정상적인 폰트 사용 등을 확인한다. 마우스와 키보드 행위 등을 분석하는 사용자 핑거프린트 기술도 사용한다. 봇에 의한 접근은 마우스 클릭 위치가 정확하고 패턴이 있다. 키보드 키 입력 속도와 압력 등의 요소도 봇에서는 일정한 패턴을 찾을 수 있다. 더불어 네트워크 트래픽을 분석해 비정상 요소를 찾는다.

이러한 비정상 사용자의 행위를 판단하는 특허 기술 130여개를 보유하고 있으며, 가장 많은 자바스크립트 텔레메트리를 통해 지능적으로 정상 사용자와 비정상 사용자의 접근을 구분한다.

쉐이프 솔루션은 매니지드 서비스로 제공된다. 공격이 수시로 바뀌는데, 구축형 제품을 사용하면 웹 서비스에 미칠 영향을 우려해 정책 변경이 어렵기 때문에 진화하는 공격 대응에 제약이 많다. AI와 F5 전문가를 통해 관리 가능한 쉐이프 솔루션은 새로운 공격도 즉시 탐지하고 적절하게 대응할 수 있으며, 악의적인 트래픽을 제거해 공격 가능성을 낮추고 고객 신뢰를 확보하며, 트래픽 사용량을 줄여 비용을 절감하는 효과도 가질 수 있다. 쉐이프 솔루션이 분석하는 정보에 개인정보는 포함되지 않아 개인정보 유출 우려도 덜 수 있다.

이진원 이사는 “비정상 사용자 접속으로 인한 피해는 말 할 수 없이 많다. 이들은 고객의 정보를 탈취하고 공개하겠다고 협박하거나 다크웹에 판매한다. 정상 사용자로 위장한 다양한 사기범죄를 저지르며, 피싱 등의 공격에도 이용한다. 이 같은 공격을 당했을 때 막대한 금전 피해는 물론이고 기업의 신뢰가 하락하고 고객을 잃게 된다”며 “이러한 위협에 미리 대응하기 위해 F5의 쉐이프 서비스가 대안이 될 수 있다”고 말했다.

데이터넷 다른기사 보기