🧨 MFA도 뚫린다고? Evilginx와 AiTM 공격의 실체

📌 TL;DR (한 줄 요약)

MFA만 믿었다가 큰코다친다, Evilginx로 우회 가능하다!

---

요즘 기업 대부분은 MFA(다중 인증)를 기본 보안 수단으로 사용하고 있어요.
“아이디+비밀번호만으로는 부족하다!”는 인식이 자리 잡은 덕분이죠.
그런데 이 MFA마저도 우회할 수 있는 공격 기법이 활발하게 사용되고 있다는 사실, 알고 계셨나요?

이번 글에서는 Sophos 보안 연구팀이 공개한 Evilginx 기반 AiTM(Adversary-in-the-Middle) 공격 기법과
실제 사례를 소개하고, 우리가 어떤 보안 수칙을 강화해야 할지 알려드릴게요. 😎

---

🐍 Evilginx란?

Evilginx는 이름부터 심상치 않죠?
원래는 오픈소스 웹 서버인 NGINX를 기반으로 만든 공격 프레임워크예요.
하지만 이건 정상적인 웹 서버가 아니라, 중간자(MitM)로 작동하는 악성 프록시 서버입니다.

어떻게 동작하냐고요?

1. 공격자는 Evilginx를 이용해 정상 웹사이트를 복제한 피싱 페이지를 만듭니다.
   예: Microsoft 365 로그인 페이지
2. 피해자는 이 페이지를 진짜라고 믿고 아이디/비밀번호를 입력합니다.
3. Evilginx는 이 정보를 그대로 마이크로소프트 서버에 전달해 인증을 수행합니다.
4. 사용자가 MFA 코드를 입력하자 Evilginx는 그 정보까지 중간에서 훔쳐냅니다.
5. 공격자는 세션 쿠키를 획득해 실제 서비스에 로그인합니다.

이제 피해자의 메일, 파일, 계정 설정에 풀 엑세스가 가능해진 거죠.

---

🧪 Sophos의 실험 결과

Sophos X-Ops의 Matthew Everts는 Evilginx를 사용해 Microsoft 365 환경에서 실험을 진행했어요.
결론부터 말하자면 MFA도 우회 가능했습니다. 😱

• 사용자는 정상적인 Microsoft 로그인 페이지라고 착각하고 정보 입력
• Evilginx는 백엔드에서 세션 쿠키를 저장
• 세션 쿠키를 이용해 재인증 없이 피해자 계정에 접속 성공
• MFA 보호도 무력화됨

게다가 로그인 후 공격자는 다음과 같은 일을 할 수 있어요:

• 메일 포워딩 규칙 설정
• MFA 설정 변경
• 계정 비밀번호 변경
• 추가 권한 획득 및 백도어 설치

---

📉 실제 공격 사례도 있었다!

Sophos는 최근 MSP(Managed Service Provider)를 대상으로 Evilginx 공격이 실제 발생했다고 밝혔어요.
뿐만 아니라 다른 AiTM 도구들도 활발히 등장 중입니다:

• WikiKit
• FlowerStorm
• Tycoon2FA
• Mambe2FA
• RaccoonO365 등…

이제 공격자는 이메일 클릭 한 번으로 MFA까지 우회하며 기업 네트워크에 침투할 수 있는 시대가 된 거예요.

---

🔒 대응 방안은 없을까?

다행히도 방법은 있습니다.
가장 중요한 건 피싱 저항형 MFA(FIDO2 기반 인증)로의 전환이에요!

🛡 추천 대안:

1. FIDO2 기반 Passkey 또는 하드웨어 키(YubiKey)
2. Apple Touch ID, Face ID, Windows Hello
3. iPhone/Android 내장 생체 인증 활용
4. 조건부 액세스 정책(Conditional Access Policy) 연동

왜 이런 인증이 효과적일까요?

FIDO2 기반 인증은 Evilginx처럼 도메인이 일치하지 않으면 아예 인증을 거부합니다.
즉, 프록시 서버로는 우회할 수 없어요!

---

🧠 정리하면…

MFA는 중요한 보안 수단이지만, 완벽한 방패는 아닙니다.
공격자들은 이제 프록시 서버를 활용한 AiTM 공격으로 MFA마저 우회하고 있어요.
Evilginx 같은 도구는 오픈소스로 존재하고, 공격자는 이를 점점 더 정교하게 활용하고 있습니다.

따라서 기업은 이제 ‘MFA 적용 여부’가 아닌 ‘MFA의 수준’에 집중해야 해요.
피싱 저항형 인증, 조건부 접근 정책, 로그인 모니터링 로그 확인까지…
한 발 앞서 나가는 보안 전략만이 유일한 방어책입니다. 🧷