Google의 인증시스템 돌파를 노리는 Android 악성코드가 출현

Photo by Pathum Danthanarayana on Unsplash

네덜란드에 본사를 둔 사이버보안 기업 ThreatFabrick의 연구원은 2월 말 뱅킹형 트로이목마로 알려진 Android 악성코드 'Cerberus'의 변종이 'Google Authenticator'에서 생성된 '2단계 인증(2FA)' 코드를 훔치는 기능을 획득한 사실을 회사 블로그를 통해 발표했다.

2020 - Year of the RAT

https://www.threatfabric.com/blogs/2020_year_of_the_rat.html

Googleの認証システム突破を狙うAndroidマルウェアが出現。もはや2段階認証といえども安心はできない状況に！

https://finders.me/articles.php?id=1754

Google Authenticator는 Google에서 개발한 2단계 인증을 위한 보안토큰(일회용 암호 생성 앱)이다. Google이 제공하는 2단계 인증 시스템은 기존의 ID, 비밀번호 이외에 이 앱이 생성한 코드가 필요하다.

새로 발견된 Cerberus의 변종은 Android 장치가 감염되면 네트워크를 통해 컴퓨터를 원격조작하는 악성프로그램 'RAT (Remote Administration Tool)'의 기능을 이용하여 모바일뱅킹 앱의 인증정보를 훔쳐간다.

구체적으로는 표적으로하는 모바일뱅킹 계정을 Google Authenticator가 보호하는 경우 공격자는 RAT 기능을 이용하여 사용자의 장치에 접속한다. Google Authenticator를 원격조작하여 일회용 암호를 생성하고 화면의 스크린샷을 C&C서버로 전송한다.

※ C&C(Command & Control) 서버는 공격자가 빼앗은 (감염된)컴퓨터를 제어하고 명령을 전달하기 위해 설치한 서버.

이렇게 얻은 일회용 암호를 사용하면 공격자는 사용자가 이용하는 온라인뱅킹 서비스에 액세스하고 조작을 할 수 있다는 것이다.

더 이상 2단계 인증이라고해도 안심을 할 수 없는 상황이다.

사실 Cerberus 변종의 사례는 빙산의 일각에 불과하다. 최근 몇 년간 2단계 인증의 돌파를 노린 공격이 급증하고 있다.

많은 금융기관이나 온라인 쇼핑, SNS 등 2단계 인증 도입을 추진하고 있는 점에서도 알 수 있듯이, 높은 안전성이 요구되는 서비스, 즉 가치있는 정보를 다루는 서비스에 있어 이제 2단계 인증은 필수가 되고 있다. 이에 대응해 가치있는 금품이나 정보를 훔치고 싶은 공격자들의 2단계 인증을 돌파하려는 시도가 증가하고 있다.

공격자가 2단계 인증을 돌파하는 수법으로 가장 많이 사용되고 있는 것이 가짜사이트를 이용한 피싱이다.

그 수법으로는, 예를 들어 금융기관 등을 사칭해 "누군가가 무단으로 로그인을 시도했을 가능성이 있다", "고객의 계정에 문제가 발생했다", "사이트의 보안을 강화할 필요가 있다" 등 불안을 부추기는 SMS 및 피싱 메일을 발송하고 진짜와 똑같이 만든 가짜사이트로 사용자를 유도하여 ID와 암호를 입력시킨다.

이와 동시에 공격자는 정규 사이트에 해당 ID와 암호를 입력한다. 사용자에게 일회용 암호의 발행을 요구하여 가짜사이트에 취득한 일회용 암호를 입력시킨다.

이렇게 사용자를 속여 획득한 일회용 암호를 사용하면 감쪽같이 2단계 인증을 돌파하게 된다.

사이버보안 업체인 트렌드마이크로에 따르면 이 같은 피싱에 의한 2단계 인증 돌파에 사용되는 것으로 간주되는 피싱사이트의 도메인 수가 2019년 9월들어 급증하고 있다고 한다.

2단계 인증 돌파를 위해 개설된 것으로 간주되는 피싱사이트 도메인 수의 추이 (트렌드마이크로 조사)

더 이상 2단계 인증을 사용하고 있는 사이트여도 안심하고 사용할 수 있는 상황이 아님을 알아두는 것이 중요하다.

이메일이나 SNS로 보내져 온 URL로 온라인뱅킹 등에 접근하지 못하게 하는 보안프로그램을 도입하는 등의 방어조치를 취하자. 그리고 다양한 온라인 서비스는 더욱 더 신중하게 이용하기를 권고한다.