다중인증 메커니즘, 구축 잘못하면 오히려 공격의 통로가 될 수 있어

요약 : 박스(Box)라는 유명 클라우드 서비스가 다중인증 시스템을 잘못 구축하는 바람에 계정 탈취 공격이 발생했다. 이러한 사건은 2021년 11월의 패치로 해결이 되었으며, 공격자들은 로그인 크리덴셜 하나만 있으면 다중인증을 뚫어낼 수 있었다고 한다. 다만 이는 문자 메시지를 기반으로 한 다중인증에 한해서 발생한 사건이다. 문자 기반 다중인증은 그리 안전하지 않다는 경고가 수년 전부터 나왔었다.


배경 : 박스에 로그인을 시도하면, 박스에서 세션 쿠키를 설정하고 사용자들을 새로운 ‘양식’이 있는 페이지로 접속시킨다. 여기서 사용자들은 일회용 비밀번호나 문자메시지로 전송된 코드를 입력해야 한다. 사용자가 문자메시지 기반 다중인증을 활성화시킨 경우, 공격자가 이를 해제하고 일회용 비밀번호로 옵션을 바꾸면 공격이 가능하다. 반대로 처음부터 일회용 비밀번호 인증 옵션이 활성화 되었을 때는 공격이 통하지 않는 것으로 알려져 있다.

말말말 : “다중인증은 보안 전문가들이 많이 권고하는 보안 실천 사항 중 하나입니다. 하지만 이를 어떻게 구축하느냐에 따라 정말로 강력한 방패가 될 수도 있고 또 다른 공격의 통로가 될 수도 있습니다.” -바로니스(Varonis)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>