뉴스3.“MFA도 무용지물?” 스타킬러 피싱 키트 이용한 계정 탈취 공격 확산

 

기사 요약:

MFA 우회 중간자 공격 피싱 플랫폼 ‘스타킬러’ 등장하였고, 세션 토큰 탈취 공격OAuth 기기 인증 악용·캡차 위장 사이트 등 고도화 계정탈취 공격을 할 수 있는 환경이 형성되고 있다는 우려를 제기함.

1. MFA 우회 중간자 공격 피싱 플랫폼 ‘스타킬러’ 등장하였고, 이는 진짜 사이트처럼 구동하는 가짜 사이트로 이용자를 이동시키고 거기에 입력하는 것들을 진짜 사이트에 바로 입력해서 로그인한 후 계정 탈취한다.
2. 피싱 키트 원피시(1Phish)는 원패스워드(1Password) 이용자를 대상으로 브라우저 핑 프린팅 기술과 일회용 비밀번호(OTP)를 실시간으로 가로채는 기능을 결합했다.
3. 오스(OAuth) 2.0 장치 인증 흐름을 이용해 마이크로소프트 365 계정을 침해하는 공격 캠페인도 포착됐다. 피해자가 정상적 마이크로소프트 로그인 포털에 접속하도록 유도한 뒤, 탈취한 기기 코드를 활용해 계정 권한을 확보하는 방식이다.

개인 의견: 점점 해킹을 하기 쉬운 환경이 만들어지고 있다는 것이 무서웠다. 해킹 툴이 프로그램 파일로만 은밀하게 주고받는 줄 알았는데, 설치도 없이 인터넷으로 빌려 쓸 수 있다는 점이 신기하게 느껴졌다. 그리고 기사를 보다보니 해킹을 막는 기술보다 해커들의 기술이 늘었다는 기사들을 접하게 되니 정보보안 분야를 잘 선택한 것 같다는 생각이 들었다.

 

 

<용어 정리>

중간자 공격 (AitM): 사용자와 사이트 사이에 공격자가 끼어드는 것

프록시: 사용자를 대신해서 서버에 요청을 보내는 중계 서버

사용자 → 프록시 → 인터넷 서버

리버스 프록시:

사용자 → 리버스 프록시 → 실제 서버

프록시는 사용자를 대신해 서버에 접속하는 중계 서버이고, 리버스 프록시는 서버 앞에서 요청을 받아 실제 서버로 전달하는 중계 서버이다.

MFA: 다중 인증 장치

예) 네이버 로그인시, 아이디와 비번 입력 그리고 핸드폰 인증.

나 → 네이버(0)

나 → 해커 → 네이버

네이버에 로그인 한다고 생각하지만 실제로는 해커 사이트에 접속하는 것.

도커 컨테이너 환경: 프로그램을 실행하는 작은 가상 컴퓨터 환경.

헤드리스 크롬: 화면 없이 자동으로 웹사이트를 조작하는 크롬 브라우저.

브라우저 핑거 프린팅: 사용자의 컴퓨터와 브라우저 특징을 모아서 “이 사람이 누구인지 구별하는 기술”**입니다. 즉, 컴퓨터의 지문을 만드는 것.

OAuth: 비밀번호를 직접 주지 않고도 다른 서비스가 내 계정 정보를 사용할 수 있게 하는 인증 방식. 리퍼러: 내가 어떤 사이트에서 넘어왔는지 알려주는 정보.

코드 난독화: 코드를 일부러 알아보기 어렵게 만드는 것. SaaS(Software as a service): 프로그램을 설치하지 않고 인터넷으로 빌려 쓰는 방식.

 

뉴스링크: https://www.boannews.com/media/view.asp?idx=142472&page=1&kind=4