다단계 인증 우회

사용자 동작을 시뮬레이션하는 첨단 기술

MFA 보안을 침해하는 새로운 사이버 공격

다단계 인증(MFA)은 오랫동안 ID 및 액세스 관리의 초석이었습니다. 사용자에게 지문에서 일회용 비밀번호, 하드 키에 이르기까지 추가 인증 요소로 기존 사용자 이름/암호 조합을 보완하도록 요구함으로써, 조직에서는 도난당한 자격 증명을 사용하는 공격으로부터 네트워크와 데이터를 더 잘 보호할 수 있습니다.

그러나 공격자는 MFA를 우회하는 새로운 방법을 찾고 있습니다.Microsoft에서는 최근 경로상 공격 기술을 사용하여 10,000개 이상의 조직을 대상으로 한 피싱 캠페인을 감지했습니다.공격자는 역방향 프록시 사이트를 사용하여 사용자의 비밀번호와 세션 쿠키를 가로챌 수 있는 사기성 Microsoft 365 로그인 페이지를 시뮬레이션하여 MFA 조치를 우회하고 수많은 이메일 계정에 액세스할 수 있도록 했습니다.

공격자는 합법적인 사용자 계정을 빼낸 다음, 사용자가 나중에 비밀번호를 변경하더라도 의심하지 않는 연락처에 대해 특정 표적을 노리는 비즈니스 이메일 손상(BEC) 공격을 수행하고 계정에 대한 액세스를 유지할 수 있는 받은 편지함 규칙을 만들었습니다.

이 공격으로 MFA를 사용하는 조직에는 경종이 울렸습니다. 어쨌든, MFA 조치는 직원, 계약자, 벤더 등 권한 있는 당사자가 중요한 정보 및 시스템에 대한 액세스 권한을 부여하기 전에 사용자 ID를 확인하여 접속을 시도하는 사람이 누구인지 증명하도록 설계되었습니다. 공격자가 합법적인 사용자를 가장하는 데 성공하면 문이 활짝 열립니다.

그러나 MFA는 약한 링크가 아니며, 조직에서 덜 강력한 ID 및 액세스 관리 방법을 위해 MFA를 버려서도 안 됩니다. 오히려, 지능형 사이버 공격으로부터 사용자와 데이터를 보호하려면 강력한 인증 조치를 사용하여 회사 네트워크의 모든 계정, 애플리케이션, 엔드포인트를 지속해서 확인하고 모니터링하는 포괄적인 Zero Trust 보안 전략이 필요합니다.

공격자가 기존 사이버 보안 조치를 우회하는 방법

경로상 공격은 공격자가 최근에 MFA를 손상시키기 위해 사용한 유일한 접근 방식은 아닙니다.FBI와 CISA에서는 비정부기구의 비활성 계정에 액세스하기 위해 무차별 암호 대입 공격을 사용한 러시아 측의 사이버 공격이 있었음을 보고했습니다.공격자는 계정에 진입한 후 "PrintNightmare"라는 취약점을 사용하여 시스템 권한을 부여받고 표준 MFA 제어를 우회하는 코드를 실행했습니다.

또 다른 상황에서는 사람의 실수 때문에 MFA가 손상되었습니다. 시러큐스 대학교에서 내부 이메일 시스템에 MFA를 구현한 후 공격자는 "MFA 피로"라는 공격으로 학생과 교직원에게 스팸을 보내려고 했습니다. 공격자는 피싱 및 기타 방법을 사용하여 이메일 자격 증명에 액세스한 다음 사용자가 요청에 너무 짜증이 나서 거부할 수 없도록 MFA 요청을 여러 차례 사용자 장치에 보냈습니다. 사용자가 승인 요청을 승인하자(전화기를 무음으로 설정하기 위한 경우에도) 공격자는 대학 리소스 및 계정에 추가로 액세스할 수 있게 되었습니다.

공격자들이 MFA를 손상시키는 새로운 방법을 계속 찾고 있지만, 이것이 MFA 프로토콜 자체에 약점이 있음을 보여주는 것은 아닙니다.반대로, 사이버 및 신흥 기술 국가안보 부보좌관인 Anne Neuberger에 따르면 MFA를 사용하면 사이버 공격 시도의 최대 90%를 방지할 수 있습니다.기억해야 할 중요 사항은 사이버 공격이 복잡하며, 공격자는 단순히 계정을 침해하기 위해 MFA를 대상으로 하는 것이 아니라 피싱, 맬웨어, 무차별 암호 대입 추측, 패치되지 않은 취약성 악용, 도난당한 자격 증명 등 전술의 조합을 포함할 수 있는 일련의 공격의 일환으로 공격한다는 것입니다.

Zero Trust는 MFA 악용 방지에 도움이 됩니다

단일 보안 전술에 의존하면 점점 더 정교해지는 공격으로부터 조직을 보호할 수 없습니다. 공격자가 중요한 계정에 액세스하기 위해 여러 전술에 의존하는 것처럼 조직에서도 사용자와 데이터를 보호하기 위해 다각적인 보안 전략이 필요합니다.

Zero Trust는 조직의 리소스에 액세스하려는 모든 사용자를 본질적으로 불신하는 최신 사이버 보안의 기본 원칙입니다. 따라서 공격자가 조직 외부에 있든 내부에 있든 상관없이 네트워크나 계정을 침해하기가 더 어려워집니다.

실제로 Zero Trust 플랫폼을 통해 조직에서는 다음을 포함한 여러 방법을 통해 네트워크를 보호할 수 있습니다.

• 다단계 인증: MFA는 일회용 비밀번호, 푸시 알림, 사용자 생체 인식(예:지문 또는 얼굴 인식), 보안 키 또는 사용자 및 장치 ID를 확인하는 기타 방법으로 실행할 수 있습니다

• 지속적인 모니터링 및 유효성 검사: 사용자와 장치를 지속해서 재인증해야 하므로 공격자가 도난당한 자격 증명을 사용하더라도 네트워크에 일관되게 액세스하기가 어렵습니다

• 최소 권한 액세스: 사용자에게는 전체 네트워크에 대한 액세스 권한이 아닌 사용해야 하는 리소스에만 액세스할 수 있는 권한이 부여됩니다

• 장치 액세스 제어: 네트워크에 연결하는 장치에 대하여 의심스러운 활동의 징후가 있는지 모니터링할 권한이 부여되어야 합니다

• 내부망 이동 방지: 세분화는 네트워크의 특정 영역에 대한 액세스를 제한하여 내부망 이동을 방지하는 데 도움이 됩니다

Zero Trust 전략을 사용하면 MFA 기반 공격이 성공할 가능성이 훨씬 낮아집니다. 공격자가 사용자 계정에 액세스하더라도 전체 네트워크에 대한 무제한 액세스 권한이 부여되지 않으며 사용자 및 장치 ID를 지속적으로 다시 인증하지 않고는 내부망에서 이동할 수 없습니다.

Cloudflare로 MFA 공격 회피

Cloudflare Zero Trust는 MFA 조치를 악용하려는 정교한 사이버 공격으로부터 기업 네트워크와 사용자를 보호하는 데 도움이 됩니다.Cloudflare의 통합 Zero Trust 플랫폼을 사용하면 조직이 클라우드, 온프레미스, SaaS 애플리케이션 전반에 걸쳐 일관된 최소 권한 액세스 제어를 간단하게 시행하여 공격자가 중요한 시스템 및 데이터를 침해하고 조직 내에서 내부망 이동을 하는 것을 방지할 수 있습니다.

이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.

핵심 사항

이 글을 읽고 나면 다음을 이해할 수 있습니다.

• 공격자가 피싱 전술을 사용하여 MFA를 우회하는 방법

• MFA 손상으로 데이터 도난 및 기타 공격의 문이 열리는 방법

• MFA 악용을 방지하기 위한 주요 전략

관련 자료

• 강력한 인증으로 피싱 공격을 막는 방법

• 피싱을 차단하는 (하드) 키

• Zero Trust로 이어지는 로드맵