GN⁺: MFA가 MFA가 아닐 때 - Retool이 피싱 공격을 당한 방법
(retool.com)- 2023년 8월 29일, Retool은 스피어 피싱 공격으로 인해 27개의 클라우드 고객 계정이 무단 접근당했다고 보고
- 이 공격은 SMS 기반의 피싱 공격을 통해 시작되었으며, 직원들은 IT부서에서 계정 문제에 대해 보내온 것처럼 가장한 문자 메시지를 받았음
- 한 명의 직원이 문자 메시지에 제공된 링크로 로그인하였고, 이는 다중 요소 인증(MFA) 양식이 포함된 가짜 포털로 보내짐
- 공격자는 IT 팀원으로 가장하며 직원에게 전화를 걸어 추가적인 MFA 코드를 획득하였고, 이를 통해 직원의 Okta 계정에 개인 기기를 추가할 수 있었음
- 공격자는 이후 자신의 Okta MFA를 생성할 수 있었으며, 이로 인해 공격자의 기기에서 GSuite 세션을 활성화
- 공격자는 손상된 Google 계정 내의 모든 MFA 토큰에 접근하였고, 이로 인해 Retool의 내부 시스템에 접근하고 특정 고객 계정에 대한 인수 공격이 이루어짐
- Retool은 모든 내부 인증 세션을 취소하고, 영향을 받은 계정에 대한 접근을 제한하며, 영향을 받은 고객에게 알리고, 그들의 계정을 원래 상태로 복구하는 방식으로 대응
- Retool의 온프레미스 고객들은 "제로 트러스트" 환경에서 운영되며 완전히 독립적이므로 영향을 받지 않았음
- 이 사건은 소프트웨어 기반 OTPs에 대한 MFA의 취약성과 Google Authenticator의 클라우드 동기화 기능과 관련된 위험성을 강조
- Retool은 Google이 Google Authenticator의 어두운 패턴(클라우드 싱크를 키도록 하는 것)을 제거하거나, 조직이 이를 비활성화할 수 있는 기능을 제공하도록 해야한다고 제안
- 회사는 소셜 엔지니어링에 대한 인식의 중요성과 전체 시스템에 영향을 미치는 인간의 오류를 방지하는 시스템의 필요성을 강조
- Retool은 이미 내부적으로 인간-루프 워크플로우를 구현하였고, 이를 고객을 위한 제품에도 구현할 계획
- 회사는 고객들이 자신의 위협 모델을 이해하고, 행동을 실행하거나 여러 직원의 승인이 필요한 에스컬레이션 플로우와 같은 추가적인 보호 조치를 통합하도록 권장
설명된 대로라면 꽤나 회사 내부 사정에 밝은 누군가가 스피어피싱을 시도했나 보군요.
회사 내부 프로세스는 물론 심지어 실제 직원의 목소리를 딥페이크 합성해서 전화를 할 정도였다니 말입니다.
거기서 Google Authenticator의 클라우드 동기화 기능으로 OTP를 무력화하다니 흠좀무…
Hacker News 의견
- 본 기사는 멀티 팩터 인증(MFA)을 악용하고 딥페이크 기술을 사용한 정교한 피싱 공격에 대해 논의합니다.
- 댓글러들은 클라우드 기반 MFA 코드가 취약하다고 제안하며, SMS 기반 MFA를 더 안전한 대안으로 추천합니다.
- 보안 교육의 중요성이 강조되며, 예상치 못한 정보 요청에 대해 확인하기 위해 요청자에게 알려진 신뢰할 수 있는 채널을 통해 연락하는 것이 좋다는 조언이 제시됩니다.
- 공격에서 딥페이크 기술의 사용에 대한 의구심이 제기되며, 이는 내부 정보가 필요한 양 때문입니다.
- 회사가 하드웨어 2FA를 사용하지 않은 것에 대한 비판이 제기되며, 이는 더 안전하고 저렴하다고 간주됩니다.
- 구글이 클라우드에 코드를 동기화하도록 권장하는 것에 대한 의문이 제기되며, 보안을 향상시키기 위해 암호화된 백업과 FIDO2를 사용하는 것을 제안합니다.
- OTPs(일회용 비밀번호)는 구식이라고 간주되며, U2F, WebAuthn, Passkeys와 같은 피싱 방지 인증기가 대체제로 추천됩니다.
- 직원의 목소리를 딥페이크하고 내부 회사 프로세스를 알고 있는 공격의 정교함이 언급됩니다.
- 회사의 보안 태도에 대한 비판이 제기되며, 기본 보안 조치가 수정되어야 한다는 제안이 있습니다.
- 공격의 상세한 공개가 접근성이 좋고 커뮤니티가 보안 조치를 개선하는 데 도움이 될 수 있다고 칭찬받습니다.
- 공격자들이 어떻게 직원의 목소리에 대한 충분한 녹음 내용을 얻어 딥페이크를 만들 수 있었는지에 대한 의문이 제기되며, 이는 내부자의 개입을 가능성을 시사합니다.
- 이 사건은 대화의 녹음과 내부 프로세스의 유출 가능성에 대한 우려를 불러일으킵니다.