# MFA가 MFA가 아닐 때 - Retool이 피싱 공격을 당한 방법 > Clean Markdown view of GeekNews topic #10877. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=10877](https://news.hada.io/topic?id=10877) - GeekNews Markdown: [https://news.hada.io/topic/10877.md](https://news.hada.io/topic/10877.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2023-09-14T23:37:08+09:00 - Updated: 2023-09-14T23:37:08+09:00 - Original source: [retool.com](https://retool.com/blog/mfa-isnt-mfa/) - Points: 5 - Comments: 2 ## Topic Body - 2023년 8월 29일, Retool은 스피어 피싱 공격으로 인해 27개의 클라우드 고객 계정이 무단 접근당했다고 보고 - 이 공격은 SMS 기반의 피싱 공격을 통해 시작되었으며, 직원들은 IT부서에서 계정 문제에 대해 보내온 것처럼 가장한 문자 메시지를 받았음 - 한 명의 직원이 문자 메시지에 제공된 링크로 로그인하였고, 이는 다중 요소 인증(MFA) 양식이 포함된 가짜 포털로 보내짐 - 공격자는 IT 팀원으로 가장하며 직원에게 전화를 걸어 추가적인 MFA 코드를 획득하였고, 이를 통해 직원의 Okta 계정에 개인 기기를 추가할 수 있었음 - 공격자는 이후 자신의 Okta MFA를 생성할 수 있었으며, 이로 인해 공격자의 기기에서 GSuite 세션을 활성화 - 공격자는 손상된 Google 계정 내의 모든 MFA 토큰에 접근하였고, 이로 인해 Retool의 내부 시스템에 접근하고 특정 고객 계정에 대한 인수 공격이 이루어짐 - Retool은 모든 내부 인증 세션을 취소하고, 영향을 받은 계정에 대한 접근을 제한하며, 영향을 받은 고객에게 알리고, 그들의 계정을 원래 상태로 복구하는 방식으로 대응 - Retool의 온프레미스 고객들은 "제로 트러스트" 환경에서 운영되며 완전히 독립적이므로 영향을 받지 않았음 - 이 사건은 소프트웨어 기반 OTPs에 대한 MFA의 취약성과 Google Authenticator의 클라우드 동기화 기능과 관련된 위험성을 강조 - Retool은 Google이 Google Authenticator의 어두운 패턴(클라우드 싱크를 키도록 하는 것)을 제거하거나, 조직이 이를 비활성화할 수 있는 기능을 제공하도록 해야한다고 제안 - 회사는 소셜 엔지니어링에 대한 인식의 중요성과 전체 시스템에 영향을 미치는 인간의 오류를 방지하는 시스템의 필요성을 강조 - Retool은 이미 내부적으로 인간-루프 워크플로우를 구현하였고, 이를 고객을 위한 제품에도 구현할 계획 - 회사는 고객들이 자신의 위협 모델을 이해하고, 행동을 실행하거나 여러 직원의 승인이 필요한 에스컬레이션 플로우와 같은 추가적인 보호 조치를 통합하도록 권장 ## Comments ### Comment 19239 - Author: kunggom - Created: 2023-09-15T19:23:34+09:00 - Points: 1 설명된 대로라면 꽤나 회사 내부 사정에 밝은 누군가가 스피어피싱을 시도했나 보군요. 회사 내부 프로세스는 물론 심지어 실제 직원의 목소리를 딥페이크 합성해서 전화를 할 정도였다니 말입니다. 거기서 Google Authenticator의 클라우드 동기화 기능으로 OTP를 무력화하다니 흠좀무… ### Comment 19188 - Author: neo - Created: 2023-09-14T23:37:08+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=37500895) - 본 기사는 멀티 팩터 인증(MFA)을 악용하고 딥페이크 기술을 사용한 정교한 피싱 공격에 대해 논의합니다. - 댓글러들은 클라우드 기반 MFA 코드가 취약하다고 제안하며, SMS 기반 MFA를 더 안전한 대안으로 추천합니다. - 보안 교육의 중요성이 강조되며, 예상치 못한 정보 요청에 대해 확인하기 위해 요청자에게 알려진 신뢰할 수 있는 채널을 통해 연락하는 것이 좋다는 조언이 제시됩니다. - 공격에서 딥페이크 기술의 사용에 대한 의구심이 제기되며, 이는 내부 정보가 필요한 양 때문입니다. - 회사가 하드웨어 2FA를 사용하지 않은 것에 대한 비판이 제기되며, 이는 더 안전하고 저렴하다고 간주됩니다. - 구글이 클라우드에 코드를 동기화하도록 권장하는 것에 대한 의문이 제기되며, 보안을 향상시키기 위해 암호화된 백업과 FIDO2를 사용하는 것을 제안합니다. - OTPs(일회용 비밀번호)는 구식이라고 간주되며, U2F, WebAuthn, Passkeys와 같은 피싱 방지 인증기가 대체제로 추천됩니다. - 직원의 목소리를 딥페이크하고 내부 회사 프로세스를 알고 있는 공격의 정교함이 언급됩니다. - 회사의 보안 태도에 대한 비판이 제기되며, 기본 보안 조치가 수정되어야 한다는 제안이 있습니다. - 공격의 상세한 공개가 접근성이 좋고 커뮤니티가 보안 조치를 개선하는 데 도움이 될 수 있다고 칭찬받습니다. - 공격자들이 어떻게 직원의 목소리에 대한 충분한 녹음 내용을 얻어 딥페이크를 만들 수 있었는지에 대한 의문이 제기되며, 이는 내부자의 개입을 가능성을 시사합니다. - 이 사건은 대화의 녹음과 내부 프로세스의 유출 가능성에 대한 우려를 불러일으킵니다.