​[不信의 보안] ② 불완전한 MFA는 보안 위협...체계적인 대응 필요

랩서스, MFA 허점 악용해 인증 수단 무력화

FDS, 모니터링 등 체계적 대응책 마련 필수

[사진=게티이미지뱅크]

보안 전문가들은 오늘날 제로 트러스트 구현 방식으로 MFA가 주목받고 있지만, 제대로 구현되지 않은 MFA는 오히려 보안 위협이 될 수 있다고 경고했다. 따라서 MFA뿐만 아니라 모니터링, 데이터 암호화 등 복합적인 방법으로 제로 트러스트를 구현해야 한다고 강조했다.

SK쉴더스는 최근 랩서스 해킹 사건을 분석하면서 피해를 입은 기업 역시 MFA를 적용했지만, 보안 허점을 악용했다고 설명했다. 피해를 입은 기업 중 일부는 이메일을 통해 2차 인증 코드를 받는 방식을 채택했는데, 랩서스는 계정 정보뿐만 아니라 사용자 이메일까지 해킹해 MFA를 무력화했다.

MFA를 무력화하는 사례는 이뿐만이 아니다. 미국의 게임 개발사 일렉트로닉 아츠(EA)는 임직원 계정 보호를 위해 문자 메시지로 일회용 비밀번호(OTP)를 전송하는 2차 인증을 구성했다. 하지만 사이버 공격자는 해당 직원인 것처럼 속여 IT 부서에 연락하고, 전화기를 잃어버렸으니 다른 휴대전화 문자메시지로 비밀번호를 보내달라고 요청해 보안을 침해한 사례도 있다. 

때문에 MFA를 구성할 때는 단계를 늘리는 것이 아닌 인증 수단을 다양화해야 하며, 특히 쉽게 복제가 어려운 특징기반 인증(생체인증)을 사용해야 보안을 강화할 수 있다.  무엇보다 MFA는 최초 침투 단계에 대한 대응만 가능하기 때문에, 공격자의 행위 각 단계에서 제로 트러스트 방식의 보안 대책 마련이 필요하다.

과학기술정보통신부는 최근 사이버공격 단계를 최초 침투→내부망 접근→정보 유출로 분석했으며, 단계별 보안 강화 조치가 필요하다고 강조했다.

과기정통부가 발표한 권고에 따르면 우선 최초 침투에 대비해 MFA 도입이 필요하며, 인증 수단으로는 특징기반 인증과 사용자 스마트폰의 전용 앱(소유기반 인증)이 권장된다. 특히 전용 앱의 경우에도 지문 등 스마트폰에 장착된 생체 센서를 이용하는 것이 좋다. MFA 외에도 사전에 허용된 기기와 IP만 시스템에 접속할 수 있도록 허용해야 하며, 권한이 큰 관리자 계정은 접속 후 활동을 지속 모니터링해 이상 행동을 탐지해야 한다고 덧붙였다.

내부망 침투에 대응하기 위해서는 중요 서버에 대한 접근 권한은 특정 관리자의 PC에서만 접속하도록 제한해야 하며, 여기에도 생체인증 등 MFA를 적용해야 한다. 또한 금융사에서 사용하는 FDS(이상행동 탐지 시스템) 등을 도입해 악성 행위를 자동으로 판별해야 한다. 가령, 평소 접속시간이나 지역과 다른 곳에서 시스템에 접근하는 행위는 타인에 의한 무단 접근으로 간주할 수 있다. 이밖에도 계정정보 탈취에 쓰이는 악성코드(미미카츠, Mimikatz) 등이 실행되는지 여부를 점검해 공격자가 수평이동할 수 없도록 예방해야 한다.

데이터 유출단계에서는 자료 유형이나 중요도를 설정하고, 사용자 직급이나 직책에 따라 접근 및 반출 범위 권한을 설정하는 정책 기반 보안이 필요하다. 특히 DRM 등 반출 파일 암호화 솔루션을 활용할 경우, 자료가 무단 반출되더라도 공격자가 이를 악용하기 어렵다.