[데이터넷] 공격자는 계정과 권한을 탈취해 정상 상황에서 정상 사용자가 접속한 것처럼 위장한다. 그리고 자신이 가진 권한 내에서 공격활동을 벌이며, 필요한 경우 권한을 상승시켜 더 중요한 시스템으로 접근한다. 제거되지 않은 퇴사자 계정, 발급된 후 사용하지 않은 휴면계정, 잘못된 권한 설정 등을 이용해 공격자가 필요한 시스템에 접근하고 공격을 진행한다.

휴면 계정을 이용하면 공격자가 MFA를 마음대로 발급받을 수 있다. 맨디언트가 조사한 솔라윈즈 공급망 공격 그룹 APT29의 공격 방법 중 하나가, 휴면계정을 이용해 MFA를 자체 등록한 것이었다. 조직에서 처음 MFA를 시행할 때 첫 번째 MFA 장치를 등록할 수 있는데, MFA를 등록하지 않은 사용자 이름과 암호를 알고 있으면 모든 위치와 장치에서 계정에 액세스 해 MFA를 등록할 수 있다.

우버를 해킹한 공격자는 의도적으로 로그인 실패를 반복한 후 기술부서를 사칭해 인증을 허락해달라고 요청해 이중인증을 피했다. 유사한 방법으로 MFA 피로 공격도 있다. 공격자는 MFA 인증을 실패하게 해 사용자 본인에게 계속 알람이 울리도록 한다. 피해자는 계속 울리는 알람에 귀찮아서, 혹은 실수로 접근을 허용해 MFA 우회 공격에 당할 수 있다.

전통적인 방식의 크리덴셜 스터핑과 부르트포스 공격도 여전히 ‘유용’하다. 공격자는 이미 입수한 계정정보를 공격 대상 서비스에 입력해보면서 접속을 시도한다. 개인정보 유출 사고가 이미 수 없이 많이 발생했기 때문에 유출된 계정정보를 이용하는 크리덴셜 스터핑의 성공률은 꽤 높은 편이다. 특히 개인정보 유출 사고 후에도 비밀번호를 변경하지 않거나, 몇 벌의 비밀번호 조합을 반복 재사용하는 경우, 유추하기 쉬운 패턴을 갖고 비밀번호를 변경하는 경우, 공격에 당할 가능성이 매우 높다.

최은락 탈레스코리아 수석매니저는 “ID/PW는 공짜나 다름없는 가격으로 지하시장에서 거래되고 있다. 공격자가 계정정보를 획득하고 이를 이용해 정상 사용자로 위장해 잠입하는 시도는 너무나 쉽게 성공한다”며 “ID/PW 보안을 강화하기 위해 MFA를 사용하지만, MFA도 상황에 따라 취약할 수 있다. 강력한 ID 관리와 보안 정책이 시급하다”고 말했다.

인증 보안 강화 위해 비밀번호 없애야

사용자가 입력하는 방식의 비밀번호는 사용자를 불편하게 만들 뿐만 아니라 보안에 매우 취약하다. 아무리 길고 복잡한 비밀번호를 자주 바꾸면서 변경한다 해도 공격자는 쉽게 비밀번호를 탈취한다. 사용자 단말에 숨어서 키로깅으로 훔칠 수 있고, 무작위 대입 공격으로 비밀번호를 무력화할 수 있다.

고성능 컴퓨터는 임의 대입 방식으로 6자리 비밀번호를 6초만에, 9자리 비밀번호를 1분만에 알아낼 수 있다. 다섯번 이상 비밀번호 입력 오류 시 서비스 접근을 제한했고, 사용자의 비밀번호가 6자리인 서비스를 예로 들어보자. 공격자는 자동화 봇을 이용해 몇 초 동안 수만번의 비밀번호를 대입한다. 인증 서버에서 잘못된 인증 시도를 감지하고 차단 명령을 내리기 전에 비밀번호를 알아내 침투할 수 있다.

비밀번호의 위험성은 이미 10여년 전부터 경고되어왔지만, 여전히 취약하다. 마이크로소프트가 150억개 비밀번호를 분석한 결과, 가장 인기있는 비밀번호 조합은 ‘123456’, ‘qwerty’다. 마이크로소프트는 이를 “현관문을 열어둔 것이나 마찬가지”라고 설명한다.

비밀번호의 취약성을 해결하기 위해 추가인증을 사용하지만, 이 역시 완벽하지는 않다. 가장 많이 사용하는 MFA인 OTP는 인증값이 중복될 수 있어 오용이 가능하다. 앞서 설명한 MFA 경고피로, 휴면계정을 이용한 MFA 발급, 관리부서를 속이는 MFA 재발급 등으로 MFA를 우회할 수 있다.

스마트폰을 이용하는 MFA도 많이 사용되고 있는데, 이 역시 우회 가능하다. 스마트폰을 해킹하거나 MFA 앱의 취약점을 악용해 인증값을 가로채거나 잘못된 인증코드를 발생시켜 일정시간 접속을 차단시킨 후 공격자가 관리부서에 연락해 인증값을 새로 세팅하도록 유도할 수 있다.

이러한 문제를 해결할 수 있도록 마이크로소프트는 ‘어센티케이터 앱’·‘윈도우 헬로’ 등 FIDO 표준을 지원하는 패스워드리스 인증 솔루션을 제안한다. 윈도우 헬로는 기기에서 사용자와 접속 환경, 접속하는 업무의 중요성을 판단해 검증 수준을 결정한다. 일상적인 업무를 늘 접속하는 시간과 장소에서 수행하려 한다면 복잡한 검증절차 없이 로그인하며, 중요도가 높은 업무는 지문인식 등의 생체인증을 한 번 더 수행한 후 접속한다. SSO를 적용해 사용자의 불편을 줄이면서, 사용자의 행위를 여러 앱에 걸쳐 지속적으로 추적, 모니터링 해 정상 권한 내에서의 이상행위까지 찾아낼 수 있다.

IoT에도 적용 가능한 일회용 인증 코드

패스워드리스 인증은 편리하고 보안이 강하지만, 기존 인증 시스템을 바꿔야 하고, 사람 개입 없는 기기간 인증에는 사용하기 어렵다. 센스톤은 네트워크 단절 상태에서도 중복되지 않은 일회용 인증 코드를 발생시키는 MFA 솔루션 ‘OTAC’를 제안한다. OTAC는 모바일·원격근무 환경은 물론, 통신망 접속이 차단된 환경이나 외부 접속이 제한된 폐쇄망 등에도 사용된다.

LS일렉트릭 PLC에 OTAC를 적용해 본 POC가 대표적인 국내 성공사례로 소개된다. PLC 인증 인터페이스를 그대로 유지하면서 OTAC를 적용해 ACL 관리가 가능하도록 했다. 센스톤 PLC OTAC는 PLC 제조사와 운영사가 최소한의 컴퓨팅 리소스만으로 비밀번호 공유에 따른 접근, 비밀번호 탈취에 따른 비인가 사용자의 접근 또한 원천적으로 차단해 비밀번호 기반의 취약성을 제거해 보안성을 높일 수 있음을 확인했고, 특히 인가된 사용자만을 PLC에 접근할 수 있도록 허용함으로써 패킷 스니핑(packet sniffing)과 같은 공격을 무력화시킬 수 있음이 입증됐다.

육군본부 밀리패스 마이데이터 실증 서비스 사업에도 OTAC가 적용됐다. OTAC는 밀리패스 출입통제 시스템에 적용, 장병이 소지한 스마트폰의 근거리무선통신(NFC)을 활용해 장병 개인 출입 코드를 OTAC 코드로 생성하고 출입통제 시스템에 연계해 출입을 통제했다.

유창훈 센스톤 대표는 “센스톤 OTAC는 대체 불가한 인증 기술이라는 자부심을 갖고 있다. OTAC는 다양한 산업분야에 구축돼 성공적으로 사용되고 있으며, 이 기술을 전 세계에서 인정받아 시장을 확장시켜나가고 있다”며 “클라우드 방식, 초경량 스펙으로 모든 기기와 서비스에 적용 가능해 금융거래, 출입통제, OT 및 IoT 등에 다양하게 사용돼 전 세계 고객이 주목하는 성공사례를 만들고 있다”고 말했다.

김선애 기자 다른기사 보기