보안 업계와 해커들 사이의 끊임없는 군비 경쟁...최근 이중 인증마저 뚫려
문자 메시지 기반 이중 인증이 뚫린다면, 장비 기반 이중 인증으로 맞서야

[보안뉴스 문가용 기자] 공격자와 방어자 간의 군비 경쟁이 끝날 줄을 모른다. 그러면서 최근에는 이중 인증까지도 위협을 받기 시작했다. 소셜 엔지니어링이란 기술을 계속해서 발전시킨 공격자들은 이중 인증을 농락하며 피해를 입히고 있으며, 이러한 소식은 작년부터 쏠쏠하게 헤드라인을 장식했다.


이중 인증이 무력화 되는 사건의 경우는 대부분 심재킹(SIM-jacking)이란 공격 기술과 관련이 있다. 주로 심카드와 관련된 인증 정보를 훔쳐, 문자로 전송되는 1회용 비밀번호를 가로채는 수법이다. 그래서 이번엔 방어자들이 방어막을 두텁게 했다. 바로 장비 기반 이중인증(device-aware 2FA)이다. 계정과 연동된 장비로 접속할 때만 서비스가 제공될 수 있도록 해주는 것이 바로 이 장비 기반 이중인증이다.

심재킹 공격이 활성화 되기 전까지 이메일, 금융, 소셜 네트워크 등의 서비스를 제공하는 업자들은 문자 메시지를 기반으로 한 이중 인증을 사용해왔다. 지금도 이중 인증 옵션이 있는 웹사이트의 57%가 문자 메시지를 기반으로 하고 있을 정도다. 이런 사이트의 작동 원리는 간단한다. 사용자가 로그인을 하면, 해당 계정과 연결된 핸드폰으로 1회용 비밀번호를 보내고, 사용자는 이를 한 번 더 입력함으로써 인증을 완료하는 식이다.

공격자가 중간에서 이 문자 메시지를 가로채는 데 성공하면 이중 인증이 뚫리는데, 심재킹이나 그와 유사한 소셜 엔지니어링을 통해 여러 공격자들이 1회용 비밀번호를 가로채는 데 성공했다. 그런 공격자들은 통신사 직원을 매수해 심카드 정보를 입수하거나, 소셜 엔지니어링을 통해 직원을 속임으로써 필요한 정보를 획득한 바 있다.

그런 일이 수차례 일어나자 문자 메시지를 기반으로 한 이중 인증도 안전하지 않다는 이야기가 나오기 시작했다. FBI도 지난 9월 그러한 내용이 담긴 경고문을 발표한 바 있다. 트위터의 CEO인 잭 도시(Jack Dorsey) 역시 심재킹 공격에 당해 트위터 계정을 도난당하기도 했었다. 이 때문에 트위터라는 플랫폼 자체가 큰 조롱의 대상이 됐었다.

그렇다면 어떤 이중 인증이 안전할까, 하는 논란이 이어진 가운데 최근 ‘장비 기반 이중 인증’이 떠오르기 시작했다. 사용자가 계정 설정 시 제공한 전화번호와, 그 전화번호가 연결된 장비가, 전부 사용자의 손에 있다는 것을 인증하는 것이 바로 장비 기반 이중 인증이라고 말할 수 있다.

전통적 의미의 SMS 기반 이중 인증의 경우, 웹사이트가 사용자에게 1회용 비밀번호가 담긴 문자 메시지를 전송한다. 장비 기반 이중 인증의 경우, 웹사이트가 사용자에게 추가 클릭을 요구하는 메시지를 전송한다. 예를 들면 “방금 비밀번호 리셋을 요청하셨나요?”라는 질문을 통해 “예”나 “아니오”를 클릭하도록 유도하는 식이다. 사용자가 “예”를 누르면 장비 프로파일이 자동으로 확인되면서 웹사이트로 로그인이 된다. 장비 프로파일 매칭이 되지 않으면 로그인에 실패한다.

그러므로 심재킹 만으로는 이 인증 시스템을 풀 수가 없게 된다. 풀려면 피해자의 핸드폰, 그것도 원하는 계정과 연결된 핸드폰을 물리적으로 탈취해야만 한다.

장비 기반 이중 인증은 장비를 식별하는 기술이 있고, 현대 장비들에 대부분 적용되어 있기에 성립 가능하다. 장비를 식별하기 위해서는 여러 가지 정보가 혼합적으로 활용된다.
1) 웹사이트가 장비에 심는 다양한 종류의 쿠키
2) 사용자 에이전트 등과 같은 읽기 전용 브라우저 특성 정보
3) 올바른 화면을 출력하기 위해 수집되는 기기 정보
4) 네트워크 이름
5) 통신사
6) 위치 정보 등

현존하는 거의 모든 웹사이트들에서는 쿠키는 물론 브라우저 정보, 버전, 터치스크린 지원 여부, 시스템 폰트, 언어, 화면 크기, 해상도, 시간대, 플러그인 관련 정보 등 여러 가지 장비 식별 정보가 활용되고 있다. 개인화 광고나 쇼핑 아이템 추천, 사기 탐지 등 이유는 다양하다. 사용자가 엉뚱한 지역이나 시간대에 로그인을 시도할 때, 각종 이중 인증이 백그라운드에서 발동되는 경우도 많다. 이런 정보가 조합되면서 고유한 기기가 식별이 되고, 이런 많은 정보를 동일하게 갖춘 장비를 공격자가 한 개 이상 갖춘다는 건 쉬운 일이 아니다.

언제나 그렇듯, 새로운 보안 시스템은 이용성 혹은 사용성에서 마찰을 일으킨다. 하지만 장비 기반 이중 인증의 마찰은 그리 빡빡하지 않다. 장비 식별에 필요한 정보는 계정 생성 시 혹은 이중 인증 옵션 설정 시 자동으로 수집되는 것이 보통이기 때문이다. 다만 장비를 새걸로 교체했을 경우, 새롭게 등록하는 과정에서 이전 장비가 필요할 수 있고, 이것이 특수한 경우 불편함을 초래할 수 있다. 하지만 장비 교체 과정도 점점 간소화 되어 가는 추세라 이 불편함도 오래 가지는 않을 전망이다.

장비 기반 이중 인증은 기존의 문자 메시지 기반 이중 인증보다 훨씬 안전하고 강력하다. 그러나 인증 문제에 대한 영원불멸의 해결책은 아니다. 보안은 공격자들과의 군비 경쟁이 끊임없이 벌어지는 곳이며, 그렇기에 언젠가 공격자들은 장비 인증도 뚫어낼 것이다. 그러나 이것으로 인해 적잖은 시간이 벌릴 것으로 보안 커뮤니티는 예상하고 있고, 이 시간을 활용해 차기 방어책을 충분히 구상해볼 수 있을 것이다.

글 : 마커스 제이콥슨(Markus Jakobsson), ZapFraud
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>