이중인증방식은 보기와 달리 완벽하게 안전하진 못하다. 피해자가 사용하는 이동통신업체나 이중인증방식 자체를 기만할 경우 물리적 인증토큰이 없이도 이중인증을 뚫을 수 있다. 물론 어떤 보안대책도 완벽하다고는 할 수 없기 때문에 이중인증방식이 그 자체로 뒤떨어지는 방식이라고 할 수는 없다.


취약점은 바로 이동통신업체

  

대부분의 경우 이중인증은 로그인 시도시 사용자 휴대전화로 SMS를 전송하는 방식으로 이루어진다. 사용자가 휴대전화상에서 별도의 앱을 통해 코드를 생성하기도 하지만 대체로 휴대전화에 전송된 SMS 코드를 통해 로그인이 가능하다. 혹은 사용자가 비상시 전화번호로 등록한 번호를 실제로 사용한다는 점이 확인되고 나면 이중인증 자체가 생략되기도 한다. 사용자의 고유한 전화번호가 있고 이 번호를 이동통신업체와 연결시키는 물리적 SIM 카드 역시 사용자에게 있기 때문에 이 방식은 물리적으로 안전해 보인다. 하지만 전화번호가 바로 취약점이다.

 

기존 전화번호를 새로운 심카드로 이전할 경우 이 과정은 단말기만 바꾸면 가능하며 온라인으로 이루어질 수도 있다. 공격자는 사용자 이동통신업체의 고객상담직원으로 위장하기만 하면 된다. 그리고 사용자의 전화번호 그리고 카드번호나 주민번호 뒷자리 등 몇몇 개인정보만 알아내면 된다. 경우에 따라 이들 개인정보는 대형 데이터베이스에서 유출되기도 한다. 이를 통해 공격자는 사용자 전화번호를 자기가 가진 단말기로 옮길 수 있다. 또한 이동통신업체 측에서 착신을 설정하여 음성통화가 사용자가 아닌 자기네 전화기로 오도록 할 수도 있다.

 

심지어 전화번호를 다 알지 못해도 된다. 사용자 음성사서함에 침투하여 웹사이트 로그인을 시도한 다음 음성사서함으로부터 인증코드를 탈취하는 방법이 있기 때문이다. 이 경우 이동통신업체의 음성사서함 시스템의 보안수준이 문제된다. 음성사서함 PIN이 설정되지 않은 경우도 있으며 설령 PIN이 있다 해도 이동통신업체에 문의하여 해당 PIN을 재설정하는 건 어려운 일이 아니다.


 


전화번호만 있으면 보안조치 우회 가능

 

이렇게 보면 전화번호는 이중인증방식을 무력화할 수 있는 취약점이라고 할 수 있다. 사실 이 부분은 거의 모든 서비스에서 문제가 되는데 이는 사용자가 자기네 서비스에 접근하지 못하는 경우를 원하지 않기 때문이다. 그렇기 때문에 이중인증 생략이 가능하며 휴대전화를 초기화하거나 이중인증 코드를 분실한 경우에도 전화번호만 있으면 접속이 어렵지 않다. 이중인증방식은 이론적으로 상당히 안전할 수 있지만 실제로는 이동통신업체의 문제를 고려해야 한다. 이들은 대체로 효율성을 추구하며 고객불편을 해소하기 위해 몇몇 보안수칙을 생략할 수 있다. 이렇게 보면 이동통신업체 그리고 고객응대부문이 취약점이라고 할 수 있다.

 

전화번호를 안전하게 지키는 일은 쉽지 않으며 이동통신업체 측에서 안전대책을 제공해야 하나 현실적인 관점에서 사용자가 직접 보완조치를 취하는 게 나을 수도 있다. 몇몇 서비스의 경우 비상시 전화번호를 통한 비밀번호 재설정이라는 방식 자체를 차단 가능하도록 하거나 이에 대해 경고하기도 한다. 그러나 재설정 코드를 은행계좌 등에 보관하여 비상시에만 꺼낼 수 있도록 하는 방식이 더욱 안전하다.



다른 우회경로


하지만 전화번호만 지킨다고 해서 문제가 해결되진 않는다. 사용자 측에서 비밀번호를 분실했다고 할 경우 전화번호가 아닌 다른 경로를 통해서도 이중인증이 생략되는 경우가 많기 때문이다. 계정에 대해 개인정보만 충분히 알고 있다면 로그인이 가능하다. 이는 사용자가 직접 시험해 볼 수도 있다. 이중인증방식을 채택한 서비스에 대해 비밀번호를 잃어버렸다고 가장한 다음 로그인을 시도해 보면 된다. 이 경우 개인정보를 제공하거나 보안질문에 응답하는 등의 과정을 거칠 수 있으며 구체적인 로그인 과정은 서비스마다 다르다. 별도의 이메일을 통해 복구링크가 제공될 수도 있으며 이 경우는 해당 이메일의 보안이 문제된다. 보통은 전화번호나 복구코드가 있으면 로그인이 가능하다.

 

문제는 공격자가 단순히 이중인증을 뚫는 데 그치지 않고 비밀번호 자체를 우회해 버릴 수 있다는 데 있다. 이는 서비스제공자 측에서 사용자가 비밀번호를 분실하는 경우에도 서비스 접속이 가능하도록 하기 때문이다. 예를 들어 구글의 계정복구 방식을 보면 어떤 비밀번호도 모를 경우 계정생성시기와 이메일을 자주 발송하는 주소가 어디인지 등 개인정보에 대한 질문을 받게 된다. 이 경우 그 사용자의 개인신상에 대해 잘 아는 공격자가 이러한 계정복구방식을 악용하여 계정에 접속하는 결과가 발생할 수 있다. 구글 계정복구방식이 악용된 실제 사례는 아직 보고된 적이 없지만 구글 외에도 수많은 회사들이 이러한 방식을 채택하고 있다. 이러한 방식은 허점을 가질 수밖에 없으며 공격자가 사용자의 개인정보를 확보한 상태에서는 더욱 그렇다.

 

 



 

Chris Hoffman, Here’s How an Attacker Can Bypass Your Two-Factor Authentication, 3. 18. 2015.

http://www.howtogeek.com/212219/here%E2%80%99s-how-an-attacker-can-bypass-your-two-factor-authentication/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 5. 25. 16:20

위로가기