2단계 인증(2FA)은 더 이상 완벽한 보안 솔루션이 아닙니다. 일러스트 사진
새로운 공격 형태
2단계 인증(2FA)은 사이버 보안의 표준 보안 기능으로 자리 잡았습니다. 사용자는 문자 메시지, 이메일 또는 인증 앱을 통해 전송되는 일회용 비밀번호(OTP)와 같은 두 번째 인증 단계를 통해 신원을 확인해야 합니다. 이러한 추가 보안 계층은 비밀번호가 도난당하더라도 사용자 계정을 보호하기 위한 것입니다.
2FA는 많은 웹사이트에서 널리 채택되고 조직에서 요구하고 있지만, 최근 카스퍼스키 사이버보안 전문가들은 사이버 범죄자들이 2FA를 우회하기 위해 피싱 공격을 사용하는 것을 발견했습니다.
이에 따라 사이버 공격자들은 피싱과 자동화된 OTP 봇을 결합하는 더욱 정교한 형태의 사이버 공격으로 전환하여 사용자를 속여 계정에 무단으로 접근하고 있습니다. 특히, 사기꾼들은 사용자를 속여 OTP를 노출시켜 2FA 보안 조치를 우회합니다.
사이버 범죄자들은 피싱과 자동화된 OTP 봇을 결합하여 사용자를 속여 계정에 무단으로 접근합니다. 일러스트 사진
정교한 도구인 OTP 봇조차도 사기꾼들이 소셜 엔지니어링 공격을 통해 OTP 코드를 가로채는 데 사용됩니다. 공격자는 피싱이나 데이터 취약점 악용 등의 방법을 통해 피해자의 로그인 정보를 훔치려 시도하는 경우가 많습니다. 그런 다음 피해자의 계정에 로그인하여 피해자의 휴대폰으로 OTP 코드를 전송합니다.
다음으로, OTP 봇은 신뢰할 수 있는 기관의 직원을 사칭하여 피해자에게 자동으로 전화를 걸어, 미리 프로그래밍된 대화 스크립트를 사용하여 피해자가 OTP 코드를 입력하도록 유도합니다. 마지막으로, 공격자는 봇을 통해 OTP 코드를 수신하고 이를 사용하여 피해자의 계정에 무단으로 접근합니다.
사기꾼들은 피해자들이 문자 메시지보다 음성 통화에 더 빨리 반응하는 경향이 있기 때문에 음성 통화를 선호하는 경우가 많습니다. 따라서 OTP 봇은 실제 통화와 같은 어조와 긴박감을 연출하여 신뢰감과 설득력을 부여합니다.
사기꾼은 전용 온라인 대시보드나 텔레그램과 같은 메시징 플랫폼을 통해 OTP 봇을 조종합니다. 이러한 봇은 공격자가 운영할 수 있도록 다양한 기능과 구독 플랜을 제공합니다. 공격자는 봇의 기능을 사용자 지정하여 조직을 사칭하고, 여러 언어를 사용하고, 심지어 남성 또는 여성 음성 톤을 선택할 수도 있습니다. 고급 옵션으로는 발신자의 전화번호를 합법적인 조직의 전화번호로 위장하여 교묘하게 피해자를 속이는 전화번호 스푸핑이 있습니다.
기술이 발전할수록 계정 보호에 대한 요구도 높아집니다. 일러스트 사진
OTP 봇을 사용하려면 사기꾼이 먼저 피해자의 로그인 정보를 훔쳐야 합니다. 사기꾼은 은행, 이메일 서비스 또는 기타 온라인 계정의 합법적인 로그인 페이지처럼 보이도록 설계된 피싱 웹사이트를 자주 이용합니다. 피해자가 사용자 이름과 비밀번호를 입력하면 사기꾼은 이 정보를 즉시(실시간으로) 수집합니다.
2024년 3월 1일부터 5월 31일까지 카스퍼스키 보안 솔루션은 은행을 표적으로 삼는 피싱 키트에 의해 생성된 웹사이트 방문 시도 653,088건을 차단했습니다. 이러한 웹사이트에서 유출된 데이터는 OTP 봇 공격에 자주 사용됩니다. 같은 기간 동안 전문가들은 실시간 2단계 인증을 우회하기 위해 생성된 피싱 웹사이트 4,721건을 탐지했습니다.
일반적인 비밀번호를 만들지 마세요
카스퍼스키 보안 전문가 올가 스비스투노바는 "소셜 엔지니어링 공격은 매우 정교한 사기 수법으로 여겨지며, 특히 서비스 담당자의 전화를 합법적으로 모방할 수 있는 OTP 봇이 등장하면서 더욱 그렇습니다. 경계를 늦추지 않으려면 주의를 기울이고 보안 조치를 준수하는 것이 중요합니다."라고 말했습니다.
해커들은 스마트 예측 알고리즘을 사용하여 비밀번호를 쉽게 알아냅니다. 일러스트 사진
카스퍼스키 전문가들이 6월 초 스마트 추측 알고리즘을 사용하여 1억 9,300만 개의 비밀번호를 분석한 결과, 이 비밀번호들은 정보 유출범들이 다크넷에서 해킹하여 판매한 비밀번호이기도 합니다. 분석 결과, 45%(8,700만 개의 비밀번호에 해당)는 1분 이내에 성공적으로 해독될 수 있는 것으로 나타났습니다. 23%(4,400만 개에 해당)의 비밀번호만이 공격에 충분히 안전하다고 판단되며, 이러한 비밀번호를 해독하는 데 1년 이상이 소요될 것으로 예상됩니다. 그러나 나머지 비밀번호 대부분은 1시간에서 1개월 이내에 해독될 수 있습니다.
또한, 사이버 보안 전문가들은 사용자가 비밀번호를 설정할 때 가장 일반적으로 사용되는 문자 조합을 공개했습니다. 이름: "ahmed", "nguyen", "kumar", "kevin", "daniel"; 인기 단어: "forever", "love", "google", "hacker", "gamer"; 표준 비밀번호: "password", "qwerty12345", "admin", "12345", "team".
분석 결과, 사전에 없는 단어, 대문자와 소문자, 숫자와 기호를 포함한 강력한 비밀번호는 19%에 불과했습니다. 동시에, 이러한 강력한 비밀번호 중 39%는 스마트 알고리즘을 통해 1시간 이내에 추측할 수 있는 것으로 나타났습니다.
흥미롭게도, 공격자는 비밀번호를 해독하는 데 전문 지식이나 고급 장비가 필요하지 않습니다. 예를 들어, 전용 노트북 프로세서는 소문자 또는 숫자 8개로 구성된 비밀번호를 단 7분 만에 정확하게 무차별 대입 공격(brute force)할 수 있습니다. 내장 그래픽 카드는 17초 만에 동일한 작업을 수행할 수 있습니다. 또한, 스마트 비밀번호 추측 알고리즘은 문자("e"를 "3", "1"을 "!", "a"를 "@")와 일반적인 문자열("qwerty", "12345", "asdfg")로 대체하는 경향이 있습니다.
해커가 추측하기 어렵게 하려면 무작위 문자열로 구성된 비밀번호를 사용해야 합니다. 일러스트 사진
카스퍼스키의 디지털 발자국 인텔리전스 책임자인 율리아 노비코바는 "사람들은 무의식적으로 매우 간단한 비밀번호를 만드는 경향이 있으며, 종종 모국어의 사전에 나오는 단어, 예를 들어 이름과 숫자를 사용하는 경우가 많습니다. 강력한 비밀번호 조합조차도 이러한 경향에서 벗어나지 않으므로 알고리즘을 통해 완벽하게 예측할 수 있습니다."라고 말했습니다.
따라서 가장 신뢰할 수 있는 해결책은 현대적이고 신뢰할 수 있는 비밀번호 관리자를 사용하여 완전히 무작위적인 비밀번호를 생성하는 것입니다. 이러한 애플리케이션은 대량의 데이터를 안전하게 저장하여 사용자 정보를 포괄적이고 강력하게 보호할 수 있습니다.
비밀번호를 강화하려면 다음과 같은 간단한 팁을 적용할 수 있습니다. 비밀번호 관리 소프트웨어를 사용하고, 서비스별로 다른 비밀번호를 사용하세요. 이렇게 하면 계정 하나가 해킹당하더라도 다른 계정은 안전하게 보호됩니다. 암호문구는 사용자가 비밀번호를 잊어버렸을 때 계정을 복구하는 데 도움이 되므로, 덜 흔한 단어를 사용하는 것이 더 안전합니다. 또한, 온라인 서비스를 이용하여 비밀번호 강도를 확인할 수도 있습니다.
생일, 가족 이름, 반려동물, 별명 등 개인 정보를 비밀번호로 사용하지 마세요. 공격자가 비밀번호를 해독하려고 할 때 가장 먼저 시도하는 정보이기 때문입니다.
원천
![[사진] 젊은이들이 더위를 피해 광활한 북서부 산맥에서 흰 구름을 찾아 Y Ty로 몰려든다](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/6/29/a193746bde2e448788e10a3fa328b07c)
![[인포그래픽] 도 문화체육관광부와 시·군 문화사회부의 기능, 업무 및 권한을 안내하는 회람문](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/6/29/877f24989bb946358f33a80e4a4f4ef5)
댓글 (0)