WhiteMail
블로그로 돌아가기
·WhiteMail 보안팀#trends#mfa#aitm

트렌드 — MFA를 우회하는 법: MFA 피로, AiTM, 세션 토큰 탈취

다단계 인증(MFA)은 거대한 문제 하나를 막았습니다. 훔친 비밀번호 하나만으로는 더 이상 로그인할 수 없게 된 것입니다. 예상대로 공격자들은 방향을 틀었습니다. 이제 흐름은 비밀번호가 아니라 두 번째 요소를 겨냥하거나, 그것을 아예 건너뛰는 기법들입니다.

기법들, 쉽게 정리하면

  • MFA 피로(푸시 폭격) — 공격자는 이미 비밀번호를 가지고 있고, 피해자 휴대폰에 승인 알림을 폭주시킵니다. 귀찮음·혼란·습관에 못 이겨 한 번은 누르리라는 데 거는 것입니다. 요소 자체는 "작동"했지만, 사람이 닳아버린 것입니다.
  • AiTM(중간자 공격, adversary-in-the-middle) — 피해자가 진짜 로그인과 자신 사이에 끼어든 프록시 페이지로 유인됩니다. 피해자는 비밀번호를 입력하고 MFA를 실제로 완료하지만, 프록시가 그 결과로 생긴 세션 토큰을 전송 중에 가로챕니다. 공격자는 그 토큰을 재생(replay)해 — MFA까지 포함해 — 로그인합니다.
  • 세션 토큰 / 쿠키 탈취 — 같은 발상의 다른 경로입니다. 악성코드나 악성 페이지가 인증된 세션 쿠키를 훔치고, 공격자가 그것을 재사용합니다. 로그인은 이미 일어났고, 그들은 그 결과만 빌려 씁니다.

공통점: 이 중 어느 것도 MFA의 암호학을 깨지 않습니다. 그 주위를 돌아갑니다. 승인하는 사람을 악용하거나, 정당한 로그인의 증거를 사후에 훔치는 식입니다.

왜 보통 이메일이 첫 단계인가

이 거의 전부가 메시지에서 시작됩니다. AiTM은 피해자가 프록시 페이지 링크를 클릭해야 합니다. MFA 피로는 비밀번호가 필요하고, 그 비밀번호는 보통 앞선 피싱에서 나옵니다. 이메일은 출입문이고, MFA 우회는 누군가 그 문을 통과한 뒤에 벌어지는 일입니다.

무엇을 할 수 있나

  • 가능한 곳에서는 피싱 저항형 MFA(패스키 / FIDO2 같은 하드웨어 결속 요소)를 우선하세요. 일회용 코드나 푸시 승인과 달리 AiTM에 저항하도록 설계돼 있습니다.
  • 특정 반사신경을 훈련하세요. 내가 시작하지 않은 승인 알림은 누를 것이 아니라 신고할 것입니다. 알림을 멈추려고 승인하지 마세요.
  • 민감한 시스템의 세션을 짧게 하고 모니터링해서, 훔친 토큰이 쓸모 있는 시간 창을 줄이세요.
  • 그리고 출입문을 잡으세요. AiTM 링크를 전달하거나 비밀번호를 수확하는 미끼는 무엇보다 먼저 이메일 문제입니다. 클릭 전에 그 메시지의 의도를 읽는 것이 전체 사슬을 끊는 가장 값싼 지점입니다.

어떤 링크가 자격증명 탈취 페이지로 이어진다고 의심되나요? 이메일을 분석 콘솔에 넣고 SA-03이 실제 목적지를 따라가게 해 보세요.