🍪 ‘쿠키 바이트(Cookie Bite)’ 공격이 뭐길래? Azure Entra ID 노린 신종 MFA 우회 해킹 기법 등장

최근 보안 연구진이 발견한 새로운 공격 방식인 ‘Cookie Bite(쿠키 바이트)’가 기업 보안 담당자들 사이에서
뜨거운 화제가 되고 있어요.
이 공격은 Microsoft의 Azure Entra ID를 사용하는 기업을 대상으로 하며,
사용자의 인증 정보를 훔쳐*MFA(다단계 인증)마저 우회해버리는 매우 정교한 수법이랍니다. 😨

---

🕵️‍♀️ 쿠키 바이트란?

Varonis Threat Labs라는 보안 연구팀이 이 공격을 발견했어요.
공격자는 Microsoft 365 환경(Outlook, Teams 등)에 로그인한 사용자의 세션 쿠키를 훔쳐서,
로그인한 것처럼 가장하고 시스템에 몰래 접근하는 방식이에요.

이때 노리는 쿠키는 두 가지예요:

• ESTSAUTH: 로그인 세션을 유지하는 임시 쿠키
• ESTSAUTHPERSISTENT: 브라우저를 닫아도 유지되는 영구 쿠키

이 쿠키들이 바로 사용자의 ‘접속 증명서’인 셈인데,
공격자가 이를 훔치면 비밀번호나 인증 코드를 몰라도 그대로 로그인할 수 있어요.
즉, MFA를 무력화시킬 수 있다는 거죠! 😱

---

🧑‍💻 공격 방식은 어떻게 이뤄질까?

Varonis는 실제로 이 공격을 증명하기 위한 PoC(개념 증명)을 만들었어요.

이 공격에는 다음과 같은 단계가 있어요:

1. 악성 브라우저 확장 프로그램 설치: 사용자가 속아서 악성 확장을 설치하면,
2. PowerShell 스크립트로 자동 실행: 브라우저가 열릴 때마다 쿠키를 훔치도록 자동화됨,
3. 쿠키 탈취 후 외부 서버로 전송: 탈취한 쿠키는 공격자에게 전송되고,
4. 공격자는 탈취한 쿠키로 시스템에 로그인: 합법적인 사용자처럼 행동할 수 있음.

이 과정은 정말 쉽고 은밀하게 진행되기 때문에, 일반적인 백신이나 보안 솔루션으로 탐지하기 어렵다고 해요. 😓

---

⚠️ 왜 위험할까?

쿠키 바이트 공격의 무서운 점은 다음과 같아요:

• MFA를 우회할 수 있음 → 기존 보안 수단이 무력화됨
• 정상 사용자로 위장 가능 → 이상 탐지도 어려움
• 영구 접근 권한 확보 → 쿠키가 바뀌지 않는 한 계속 침투 가능
• 권한 상승, lateral movement(횡적 이동)까지 가능 → 조직 전체 위협으로 확산

게다가 이 공격은 악성 코드 설치 없이 단순 스크립트만으로 가능해서, 전통적인 보안 솔루션의 탐지망을 빠져나가기 쉽다고 해요.

---

🛡️ 우리가 해야 할 보안 조치

이런 공격에 대비하기 위해선 다음과 같은 조치가 중요해요:

1. 브라우저 확장 프로그램 허용 정책 설정: Chrome의 ADMX 정책을 통해 ‘허용된 확장 목록’을 설정해두면,
   악성 확장이 설치되는 걸 방지할 수 있어요.
2. Microsoft 리스크 기반 로그인 탐지 활성화: 이상 징후가 있는 로그인 시도를 탐지해줍니다.
3. 사용자 행동 모니터링: 정상적인 유저처럼 보이는 행동이라도 분석해 탐지할 수 있는 EDR/MDR 도입이 필요해요.
4. 정기적인 보안 교육: 브라우저 확장 프로그램이나 수상한 링크, 스크립트를 경계하도록 구성원들을 교육해야 합니다.
5. 로그 아웃 자동화 또는 쿠키 만료 관리: 일정 시간 이후 자동 로그아웃 설정도 중요해요.

---

💬 마무리: MFA 있다고 안심은 금물!

이제는 단순히 MFA만으로는 부족한 시대예요.
쿠키 탈취 → MFA 우회 → 지속적 내부 침투까지 이어지는 ‘Cookie Bite’ 같은 고급 공격을 막기 위해선,
사용자 행위 기반 보안과 정밀한 브라우저 정책 설정이 필수입니다.
작은 보안 구멍 하나가 기업 전체의 정보 유출로 이어질 수 있다는 걸 잊지 마세요. 🔐