2단계 인증도 해킹 가능

OPT 등 2중 인증(2단계 인증, 2FA, 2 Factor Authentication)을 우회할 수 있는 해킹 툴이 또 공개됐다. EvilGinx라는 중간자 공격(man-in-the-middle attack) 도구이다.

공격은 일단 피싱에서 시작된다. 구조는 [피해자] - [피싱 사이트] - [정상 사이트] 로 요약할 수 있다. 피싱 사이트에서 ID, Password, 2중 인증 코드를 수집해서 정상 사이트에 전송한다. 정상 사이트에선 올바른 로그인으로 판단해서 세션 쿠키(session cookie)를 발급해 주는데, 이것을 가로챈다.

이 모든 과정은 피싱 사이트에 설치된 EvilGinx가 수행한다. 이 공격 방법은 1회성인데다 난이도가 높아서 광범위하게 나타날 가능성은 적다고 한다.

session cookie는 정상적으로 로그인했다는 자격 증명으로 credential, token이라고도 한다. 해커가 이것을 탈취하면 암호를 모르더라도 피해자 행세를 할 수 있다. 이런 수법을 pass-the-cookie를 통한 session hijacking이라 한다.

이중 인증을 우회하는 수법은 이미 알려진 것만 10개가 넘으며, 특히 일반 SMS는 가로채기 쉽다. 또한 자격 증명을 탈취하는 악성코드도 많으며, 최근에만도 Time2Do, FaceX 같은 악성코드가 유행했다.

그럼에도 불구하고 이중 인증은 해커에겐 아주 까다로운 장애물이라고 한다. 이중 인증을 잘 활용하되, 너무 과신하여 피싱이나 악성코드에 대한 경계를 늦추지 말라는 것이 EvilGinx를 공개한 화이트 해커의 조언이다.


관련 자료
  1. 페이스북 계정 탈취하는 Time2Do 악성코드

참고 자료
  1. This Tool Can Hack Your Accounts Even with Two-Factor Authentication
  2. Hacker Kevin Mitnick shows how to bypass 2FA
  3. Phishing Attack Bypasses Two-Factor Authentication
  4. This is why you shouldn’t use texts for two-factor authentication 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다