“브라우저 중간자 공격, FIDO2로 막아야” - 데이터넷
“브라우저 중간자 공격, FIDO2로 막아야” - 데이터넷
[데이터넷] 브라우저 중간자 공격(BitM)이 새로운 공격벡터로 떠오르고 있다. 사용자를 피싱 사이트로 유도한 후, 사용자 브라우저에 저장된 MFA 인증 세션 토큰을 훔치는 것으로 MFA 인증을 무력화
www.datanet.co.kr
- 브라우저 중간자 공격 개요
- BitM(Browser-in-the-Middle) 공격은 MFA를 우회하여 세션 탈취를 시도하는 신종 공격 벡터
- 피해자의 MFA 인증 후 브라우저에 저장된 세션 토큰을 탈취해 인증된 사용자처럼 행동 가능
- 투명 프록시 없이 웹 브라우저 기능을 악용하여 실제 인증 과정이 공격자의 기기에서 수행됨
- 공격 방식 및 도구
- 피해자와 서버 사이에 프록시를 설치하거나 BitM 툴을 활용해 합법적인 웹사이트와 연결된 가짜 창 생성
- 피해자가 로그인 시 사용하는 애플리케이션을 공격자 브라우저에서 실행함으로써 세션 토큰을 획득
- 서버 응답 헤더에서 세션 쿠키 추출하거나, 브라우저 프로필 내 인증 유지 기능을 악용해 세션 하이재킹 수행
- 주요 위협 대상 및 활용 시나리오
- VDI 환경, 클라우드 기반 애플리케이션, SaaS 접근에 사용되는 브라우저 기반 인증 서비스
- 내부 인프라, 고위험 시스템, 외부 노출 웹 애플리케이션을 통한 초기 침투 벡터로 활용
- 보안이 취약한 MFA 구현 환경, 인증 토큰 저장 방식이 안전하지 않은 서비스
- 보안 권고
- FIDO2 기반 인증 적용
- 물리적 보안키, 생체인증 기반의 다중 인증으로 인증 요소 탈취 불가
- WebAuthn, CTAP 프로토콜을 활용해 세션 재생 공격 방지
- 인증서 기반 인증 도입
- 클라이언트 인증서를 통한 인증 강화로 세션 토큰만으로 인증 우회 불가능
- 계층형 보안 적용
- 민감 시스템에 대한 접속 시 장치 무결성 확인, 브라우저 격리, 네트워크 보안 영역 분리 병행
- 인증 세션에 대한 활동 모니터링 및 비정상 접근 탐지 로직 연동
- FIDO2 기반 인증 적용
- 결론
- FIDO2 인증 도입을 통해 BitM 기반 인증 탈취 공격 차단 가능
- 브라우저 기반 인증 유지 기능(MFA 토큰 저장)에 대한 보안 강화 필요
- 사용자 인증 후 세션 쿠키의 수명 제한 및 장치 바인딩 등으로 세션 재사용 위험 최소화
- 고위험 애플리케이션 접근 시 브라우저 보안 취약성에 의존하지 않는 보안 설계 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 금보원, ‘금융권 AX’ 지원할 전문 인력 양성 (0) | 2025.05.02 |
|---|---|
| 기술 도입 지연과 보안 교육 축소, 사이버 위험 키운다 (0) | 2025.05.02 |
| 악성 문서 기반 공격 급증…CDR 기술로 금융권 보안 강화 필요 (0) | 2025.05.02 |
| 북한 해킹조직, 스파이보다 금전 탈취 목적 강화…한국 제조업도 주요 표적 (1) | 2025.05.02 |
| AI 코드 에디터를 악용한 'Rules File Backdoor' 공격 기법 분석 (0) | 2025.05.01 |