문자로 전송되는 인증번호를 가로채는 사기 문자 공격이 자주 등장하고 있다. 보안 전문가들은 문자로 받은 인증번호를 문자로 전송하지 말 것을 당부하고 있다.
최근 들어 트위터, 링크드인, 마이스페이스 등의 계정 해킹 사고가 잇따르면서 보안 전문가들은 여러 웹사이트에 동일한 아이디와 패스워드 사용 자제와 2중인증 사용을 권하고 있다. 2중인증은 과연 안전할까? 2중인증을 우회하는 방법은 많다. 예를 들어 맬웨어나 소셜 엔지니어링 등으로 가능하다.
미국 IT서비스社 Clearbit 공동 설립자이자 보안 전문가 알렉스 맥카우는 구글 2중인증 우회 공격이 실제 사용되고 있다며 주의를 요했다.
Be warned, there’s a nasty Google 2 factor auth attack going around. pic.twitter.com/c9b9Fxc0ZC
— Alex MacCaw (@maccaw) June 4, 2016
구글은 사용자가 알고 있는 것(패스워드)과 사용자가 갖고 있는 것(휴대폰)으로 인증하는 2FA를 운영 중이다. 예를 들어 구글에 로그인할 때 패스워드를 입력하면 휴대폰으로 인증코드가 전송되어 이 코드를 입력하도록 하는 방식으로 해커가 패스워드를 훔치더라도 안전하다.
공격자는 사용자를 속여 인증번호를 알아낸다. 예를 들어 다음과 같은 방법을 사용한다.
- 공격자는 언더그라운드, 다크웹 등을 통해 사용자의 구글 아이디, 패스워드, 휴대폰 번호를 알아낸다.
- 공격자는 구글을 가장해 사용자 폰으로 문자를 보낸다. 귀하의 구글 계정에 부정 로그인이 의심되어 사용자 보호를 위해 구글 계정이 차단될 예정이며, 잠시 후 전송될 인증번호를 이 문자로 회신하면 정상 사용이 가능하다는 등의 내용이다.
- 그런 다음 공격자는 사용자의 구글 아이디와 패스워드로 로그인을 시도한다. 사용자 폰으로 구글 인증코드가 전송된다.
- 사용자는 구글로부터 전송받은 인증코드를 공격자가 보낸 문자 회신으로 보낸다.
- 공격자는 전송받은 인증번호로 사용자 구글 계정으로 로그인한다.
현재 언더그라운드나 다크웹 등에서 판매되는 유출된 로그인 정보는 휴대폰 번호를 포함하는 경우가 많아 공격자들은 이런 공격을 아주 쉽게 수행한다. 맥카우 연구원은 이런 공격은 전혀 새로운 것이 아니며 복잡한 공격에 자주 사용되고 있다며 인증코드는 설사 구글이 요청한 것처럼 보이더라도 절대 문자로 전송하지 말 것을 권했다.