SMS, 이메일 등 문자 기반의 메시지로 인증코드를 전송 했을 때 발생하는 방식은 해커들이 좋아하는 방식으로 사이버 범죄에 이미 악용되고 있다.
리버스 프록시(Reverse Proxy)와 같은 기술을 적용하여 인증을 우회할 수 있는 구조 및 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"은 2차 인증 중 해커들이 좋아하는 2 채널 인증 방식에서 발생(삼성전자, MS, 우버, 레딧 등)하고 있다.
고로 2차 인중 중 해커들이 좋아하는 2 채널 방식을 사용하지 말고, 제로트러스트(Zero Trust) 보안 모델을 적용한 별도의 인증서버가 필요 없는 모듈 인증 방식인 BaroPAM 솔루션 같이 다양한 OS 및 Application에 인증이 필요한 곳에 플러그인 가능한 인증모듈 같은 2 팩터 인증을 사용할 것을 권고한다.
공격자들은 딱 한 번만 성공하면 된다고 한다. 레딧의 해킹 사고가 이를 적나라하게 드러냈다. 그런데 방어도 딱 한 사람의 의심으로 성공할 수 있다다는 사례가, 같은 레딧 해킹 사고를 통해 입증됐다. 사람은 보안의 최종 결론이다.
0개의 댓글이 있습니다.