계정 등에 액세스하기 위해 비밀번호 이외에 계정과 연동된 단말기나 이메일 주소로 전송된 인증코드 등을 이용하는 '2단계인증'은 보안을 높이기 위한 중요한 시스템입니다. 그러나 "본인의 실수나 시스템의 취약점이 맞물린 결과, "Google계정 암호매니저의 2단계인증이 해커에 의해 2단계인증에 걸리지 않고 해제되어 버렸다"라는 사례에 대해 소프트웨어 개발자 Amos 씨가 해설하고 있습니다. 



Beware the Google Password Manager - fasterthanli.me 

https://fasterthanli.me/articles/beware-the-google-password-manager


Disabling Google 2FA Does not Need 2FA 

https://www.infoq.com/news/2020/ 07 / google-password-2fa-woes /



해커에 의해 Google의 암호매니저의 2단계인증을 비활성화가 되어버린 당사자인 Amos 씨는 이번 실패의 책임은 거의 자신에게 있다고 인정하고 있습니다. Amos 씨는 개발중인 소프트웨어의 빌드를 실행하기 위해 macOS를 사용해야 했지만 Amos 씨는 macOS을 실행할 수 있는 장치를 가지고 있지 않았습니다. 그래서 Amos 씨는 Apple기기가 없어도 macOS가 사용할 수 있는 클라우드 OS시스템을 빌려 빌드를 실행했다고 합니다.


Amos 씨가 사용한 서비스는 사용자가 원격으로 가상데스크톱에 액세스 할 수 있는 'NoMachine'라는 서비스였습니다. NoMachine을 이용하여 macOS 가상데스크톱을 조작한 Amos 씨는 Safari에서 Google계정에 로그인한 다음에 실수로 Safari에 로그인 정보를 저장시켜 버렸습니다. Amos 씨는 이 행위를 "바보같은 짖"  "해선 안되는 행동이었다" 라고 반성하며 자신의 실수였음을 인정하고 있습니다. 


불행하게도 공격대상을 찾아 포트스캔을 실시하던 해커가 Amos 씨가 사용하고 있던 NoMachine의 기본포트인 TCP Port 4000을 발견하여 '무작위 대입 공격' 또는 로컬사용자 암호를 추측했는지는 알 수 없지만 어떤 수법으로 Amos 씨가 사용하고 있던 NoMachine 가상macOS 데스크톱에 침입했습니다.


Amos 씨가 침입을 확인한 후 해커의 행동을 재구성한 결과, 해커는 NoMachine 가상데스크톱에 침입한 후, 방금 전까지 Google세션이 진행되고 있던 것을 알고 Gmail에 로그인하려고 했다고 합니다. Gmail은 '만료된 세션'이었기 때문에, Google은 비밀번호의 재입력을 요구했는데, 거기서 Safari에 저장되어 있던 암호가 자동입력되어 버렸다고 합니다. 



물론 Amos 씨는 자신의 Google계정에 2단계인증을 설정하고 있었기 때문에, 새로운 장치에서 계정에 로그인을 시도하는 경우 2단계인증이 요구되며, 부정한 로그인은 방지될 예정이었습니다. 그러나 이번의 경우 해커가 사용한 것은 'Amos 씨가 자신의 Google계정에 로그인한 것과 같은 NoMachine 가상데스크톱이었기 때문에 의심스러운 장치로 간주되지 않았고 2단계인증은 이루어지지 않았다고 합니다.


해커는 Amos 씨의 Google계정에 로그인하여 계정에 저장되어 있던 'Chrome에서 로그인한 웹사이트의 암호'에 접근하였습니다. 다행히 Amos 씨는 다른 암호관리자를 사용하고 있었으며, Google의 암호매니저에 저장되어있던 암호는 그다지 중요하지않은 웹사이트들 이었습니다. 따라서 이번 공격으로 인한 금전적 피해는 그다지 없었는데, 문제는 이뿐만이 아니었다고 Amos 씨는 말합니다.



Amos 씨가 해킹피해를 알게된 계기는 '부에노스 아이레스의 IP주소에서 로그인 시도가 있었다'는 스마트폰의 알림이 도착해 2단계인증을 요청한 것이 계기였습니다. 해커가 실수를 하였는지, 평소와 다른 위치에서 로그인하려고 했기 때문에 Google이 의심스러운 로그인을 감지하고 차단하였습니다. 


이 건으로 Amos 씨는 해커의 공격에 노출되어 있었다는 것을 깨달았고, 그 이후 Amos 씨가 Google계정설정을 확인하여 보았는데, Google계정의 2단계인증이 비활성화되어 있던 것을 발견하였습니다. 자신의 계정설정을 볼때까지 Amos 씨는 Google계정 2단계인증이 꺼져있었다는 사실을 눈치채지 못했다고 합니다. Amos 씨는 "아무런 통지가 도착하지 않았습니다! 메일도 전화도 없었습니다. 악몽같이, 2단계인증을 비활성화하려는 해커가 2단계인증의 자격증명을 필요로 하지 않았다."라고 말합니다.


Google계정에 로그인하는 경우 '보안'에서 항목을 선택하고 팝업창을 확인하면 2단계인증을 해제할 수 있습니다. 따라서 이번처럼 '설정한 2단계인증을 회피하여 제삼자가 Google계정에 로그인되어 버리는 특수한 상황'이 발생하면 2단계인증을 돌파하지 않고도 2단계인증 자체를 비활성화가 되어버린다고 합니다.


해커가 Google계정에 로그인 되어버린 것은 자신의 잘못이었다고 Amos씨는 인정하지만 '2단계인증을 해제하기 위해 2단계인증이 필요없다'는 점에 대해서는 Google의 시스템에 문제가 있다고 지적합니다. 가능하다면 타사의 암호관리자를 이용하거나 Google계정의 비밀번호와는 다르게 암호를 설정하는 것을 Amos 씨는 권장합니다.

Posted by 말총머리
,