마이크로소프트 엔트라 ID와 파이도 패스키 : 보안의 새로운 지평

마이크로소프트 엔트라 ID와 파이도 패스키 : 보안의 새로운 지평 (사진 출처 : 데일리시큐)

마이크로소프트 엔트라 ID는 클라우드 기반의 ID 및 액세스 관리 솔루션으로, 사용자 인증과 관련된 다양한 기능을 제공하고 있습니다. 이 가운데 파이도(FIDO) 패스키 인증은 보안성을 높이기 위한 혁신적인 방법으로 자리 잡고 있습니다. 패스키는 비밀번호 없이도 안전하게 로그인할 수 있게 해주는 기술로, 최근 많은 기업들이 이 기술을 도입하고 있습니다.

 

파이도 패스키의 기능과 장점

 

파이도 패스키는 비밀번호 기반 인증의 단점을 극복하기 위해 만들어졌습니다. 사용자는 패스키를 통해 보다 안전하고 간편하게 로그인할 수 있습니다. 이 기술은 세션 쿠키와 MFA(다단계 인증) 토큰을 사용하여 보안을 강화하며, 해킹의 위험을 줄이는 데 큰 역할을 합니다. 또한, 패스키를 통해 로그인 시 사용자에게 더 이상 복잡한 비밀번호를 기억할 필요가 없게 하여 편리함을 더합니다.

 

다운그레이드 공격 원리

 

그러나 최근 발표된 프루프포인트의 연구 결과에 따르면, 마이크로소프트 엔트라 ID에서 파이도 패스키 인증을 무력화할 수 있는 '다운그레이드 기법'이 발견되었습니다. 이 공격은 중간자 피싱 프록시를 통해 사용자가 강력한 파이도 인증 대신 보안성이 낮은 로그인 방식을 사용하도록 유도해, 계정 자격 증명과 세션 쿠키를 탈취할 수 있는 방법입니다. 이는 단순한 기술적 결함이 아니라, 특정 구현 과정에서의 '대체 인증 허용 정책'이 공격의 취약점으로 작용할 수 있음을 보여줍니다.

 

프루프포인트의 연구 결과

 

프루프포인트는 이번 연구에서 공격자가 프록시를 통해 사용자의 계정 정보와 MFA 토큰, 세션 쿠키를 모두 가로챌 수 있음을 밝혔습니다. 이 과정에서 피해자는 정상적인 마이크로소프트 로그인 화면을 보고 있기 때문에 피싱 여부를 알아채기 어렵습니다. 공격자는 이 쿠키를 자신의 브라우저에 가져와 피해자의 계정에 즉시 접근할 수 있습니다.

 

피싱 공격의 실제 사례

 

실제로, 에빌진엑스(Evilginx)와 같은 공격 도구는 사용자가 실제 로그인 페이지를 그대로 보도록 하여 인증 과정에서 전달되는 세션 토큰을 가로채는 방식으로 작동합니다. 이러한 공격 도구는 이미 널리 사용되고 있으며, 마이크로소프트 계정을 노린 피싱 시도가 대규모로 발생하고 있습니다. 이로 인해 타깃 기업의 계정을 노린 맞춤형 공격에 사용될 가능성도 충분히 존재합니다.

 

사전 예방을 위한 보안 대책

 

이러한 위험에 대비하기 위해서는 사용자와 기업이 사전 예방을 위한 보안 대책을 마련해야 합니다. 사용자는 신뢰할 수 있는 사이트에서만 로그인을 시도하며, 의심스러운 링크를 클릭하지 않도록 주의해야 합니다. 기업은 다단계 인증(MFA) 사용을 반드시 권장하고, 엔트라 ID에서 제공하는 보안 설정을 적극 활용해야 합니다. 또한, 사용자의 교육을 통해 사이버 공격에 대한 경각심을 높이는 것이 중요합니다.

 

마이크로소프트의 대응과 향후 방향

 

마이크로소프트는 이러한 공격에 대해 지속적인 모니터링과 보안 패치를 진행하고 있습니다. 엔트라 ID의 기능을 개선하고 보안성을 높이기 위한 노력을 아끼지 않고 있으며, 사용자들이 안전하게 인증할 수 있는 환경을 조성하기 위해 끊임없이 연구하고 있습니다. 앞으로도 보안 기술은 발전할 것이며, 사용자와 기업 모두가 이에 대한 이해를 높이는 것이 필수적입니다.

 

이와 같은 상황에서 우리는 보안의 중요성을 다시 한번 되새길 필요가 있습니다. 마이크로소프트의 엔트라 ID와 패스키 기술이 제공하는 보안성을 최대한 활용하되, 이에 대한 위협도 인식하고 대비하는 자세가 필요합니다.