📌 TL;DR (한 줄 요약)
MFA만 믿었다가 큰코다친다, Evilginx로 우회 가능하다!
요즘 기업 대부분은 MFA(다중 인증)를 기본 보안 수단으로 사용하고 있어요.
“아이디+비밀번호만으로는 부족하다!”는 인식이 자리 잡은 덕분이죠.
그런데 이 MFA마저도 우회할 수 있는 공격 기법이 활발하게 사용되고 있다는 사실, 알고 계셨나요?
이번 글에서는 Sophos 보안 연구팀이 공개한 Evilginx 기반 AiTM(Adversary-in-the-Middle) 공격 기법과
실제 사례를 소개하고, 우리가 어떤 보안 수칙을 강화해야 할지 알려드릴게요. 😎
🐍 Evilginx란?
Evilginx는 이름부터 심상치 않죠?
원래는 오픈소스 웹 서버인 NGINX를 기반으로 만든 공격 프레임워크예요.
하지만 이건 정상적인 웹 서버가 아니라, 중간자(MitM)로 작동하는 악성 프록시 서버입니다.
어떻게 동작하냐고요?
- 공격자는 Evilginx를 이용해 정상 웹사이트를 복제한 피싱 페이지를 만듭니다.
예: Microsoft 365 로그인 페이지 - 피해자는 이 페이지를 진짜라고 믿고 아이디/비밀번호를 입력합니다.
- Evilginx는 이 정보를 그대로 마이크로소프트 서버에 전달해 인증을 수행합니다.
- 사용자가 MFA 코드를 입력하자 Evilginx는 그 정보까지 중간에서 훔쳐냅니다.
- 공격자는 세션 쿠키를 획득해 실제 서비스에 로그인합니다.
이제 피해자의 메일, 파일, 계정 설정에 풀 엑세스가 가능해진 거죠.
🧪 Sophos의 실험 결과
Sophos X-Ops의 Matthew Everts는 Evilginx를 사용해 Microsoft 365 환경에서 실험을 진행했어요.
결론부터 말하자면 MFA도 우회 가능했습니다. 😱
- 사용자는 정상적인 Microsoft 로그인 페이지라고 착각하고 정보 입력
- Evilginx는 백엔드에서 세션 쿠키를 저장
- 세션 쿠키를 이용해 재인증 없이 피해자 계정에 접속 성공
- MFA 보호도 무력화됨
게다가 로그인 후 공격자는 다음과 같은 일을 할 수 있어요:
- 메일 포워딩 규칙 설정
- MFA 설정 변경
- 계정 비밀번호 변경
- 추가 권한 획득 및 백도어 설치
📉 실제 공격 사례도 있었다!
Sophos는 최근 MSP(Managed Service Provider)를 대상으로 Evilginx 공격이 실제 발생했다고 밝혔어요.
뿐만 아니라 다른 AiTM 도구들도 활발히 등장 중입니다:
- WikiKit
- FlowerStorm
- Tycoon2FA
- Mambe2FA
- RaccoonO365 등…
이제 공격자는 이메일 클릭 한 번으로 MFA까지 우회하며 기업 네트워크에 침투할 수 있는 시대가 된 거예요.
🔒 대응 방안은 없을까?
다행히도 방법은 있습니다.
가장 중요한 건 피싱 저항형 MFA(FIDO2 기반 인증)로의 전환이에요!
🛡 추천 대안:
- FIDO2 기반 Passkey 또는 하드웨어 키(YubiKey)
- Apple Touch ID, Face ID, Windows Hello
- iPhone/Android 내장 생체 인증 활용
- 조건부 액세스 정책(Conditional Access Policy) 연동
왜 이런 인증이 효과적일까요?
FIDO2 기반 인증은 Evilginx처럼 도메인이 일치하지 않으면 아예 인증을 거부합니다.
즉, 프록시 서버로는 우회할 수 없어요!
🧠 정리하면…
MFA는 중요한 보안 수단이지만, 완벽한 방패는 아닙니다.
공격자들은 이제 프록시 서버를 활용한 AiTM 공격으로 MFA마저 우회하고 있어요.
Evilginx 같은 도구는 오픈소스로 존재하고, 공격자는 이를 점점 더 정교하게 활용하고 있습니다.
따라서 기업은 이제 ‘MFA 적용 여부’가 아닌 ‘MFA의 수준’에 집중해야 해요.
피싱 저항형 인증, 조건부 접근 정책, 로그인 모니터링 로그 확인까지…
한 발 앞서 나가는 보안 전략만이 유일한 방어책입니다. 🧷
'CyberSecurity > Security🔐' 카테고리의 다른 글
😱 Ivanti 취약점 악용 'Resurge' 악성코드 주의보! 아직도 패치 안 했다고요? (1) | 2025.04.01 |
---|---|
❗ 다시 등장한 Qakbot과 'ClickFix' 공격 수법 — 이제는 캡차(CAPTCHA)까지 믿을 수 없다고? (2) | 2025.04.01 |
🛡️ 점점 교묘해지는 사이버 공격, '공급망 보안'이 중요한 이유 (1) | 2025.03.31 |
☁️ Oracle 클라우드 해킹? 진실공방에 고객은 혼란만 가득…😨 (1) | 2025.03.30 |
☁️ 2024년 클라우드 보안, 고위험 경고 388% 증가! 지금 우리 조직은 안전할까요? (0) | 2025.03.28 |