온라인 인증의 최강자로 꼽히는 FIDO(Fast Identity Online).
비밀번호나 SMS 기반 MFA의 약점을 극복하고, 생체인증·PIN·하드웨어 키와 같은 물리적 장치를 활용하여 계정을 안전하게 지켜주는 기술입니다.
내부적으로는 공개키-비밀키 암호화를 사용하기 때문에 인증 정보가 절대 기기 밖으로 나가지 않죠.
그래서 보안 업계에서는 “사실상 뚫기 힘든 인증”이라고 평가합니다.
그런데 최근 연구자들이 발표한 개념증명(PoC)에 따르면,
FIDO 자체를 해킹할 필요 없이, 이를 우회하는 ‘다운그레이드 공격(Downgrade Attack)’이 가능하다고 합니다.
🕵️♂️ 다운그레이드 공격이란?
다운그레이드 공격은 간단히 말해 강력한 보안 기능을 직접 뚫는 대신, 약한 방식으로 인증을 유도해버리는 기법입니다.
이번 사례는 Microsoft의 Entra ID(FKA Azure AD) 환경에서 FIDO 인증을 무력화하는 방식이었습니다. Proofpoint 연구진은 오픈소스 툴인 Evilginx 프레임워크를 사용해 공격을 시연했는데, 핵심 로직은 다음과 같습니다:
- 피싱 링크 발송
- 공격자는 이메일, 메시지 등을 통해 피해자에게 피싱 링크 전달.
- 합법적인 로그인 페이지 위장
- Evilginx는 단순히 로그인 화면을 흉내내는 게 아니라, 중간자(Adversary-in-the-Middle) 프록시 역할을 수행.
- 즉, 사용자는 실제 Entra ID 로그인 페이지와 동일한 화면을 보게 됨.
- 브라우저·OS 정보 위조 (User Agent Spoofing)
- Evilginx가 Microsoft 서버에 “이 브라우저는 FIDO 지원 불가”라는 신호를 보냄.
- Entra ID는 에러를 반환하고, 사용자를 비밀번호·OTP·SMS 등 대체 MFA 방식으로 인증하도록 유도.
- 세션 토큰 탈취
- 공격자는 사용자가 입력한 자격 증명 + MFA 토큰을 가로채 계정에 접근.
- 필요 시 피해자에게 정상 세션을 되돌려 보내 의심을 최소화.
👉 결과적으로, 공격자는 FIDO 인증을 건너뛰고 약한 MFA 체계로 피해자를 끌어내어 계정을 점령할 수 있게 됩니다.
⚡ 실제 위협 수준은?
Proofpoint는 아직 이 공격이 실제 공격 캠페인에서 목격되지는 않았다고 밝혔습니다.
하지만 PoC 수준에서 이미 검증된 만큼, 피싱-as-a-Service(PhaaS) 툴킷에 곧 통합될 가능성이 큽니다.
특히 Evilginx처럼 널리 쓰이는 AitM 프레임워크와 결합되면, 범죄자들도 손쉽게 활용할 수 있게 되죠.
🛑 왜 기업들은 FIDO만 쓰지 않을까?
“그럼 모든 로그인 방식을 FIDO로만 제한하면 되지 않나?”라고 생각할 수 있습니다.
사실 기술적으로 가능합니다.
하지만 현실적인 장벽이 존재합니다:
- 👩💻 사용 편의성 문제
- 예: 직원이 노트북 덮개를 닫고 독(dock)에 연결해 쓰면, 얼굴인식 카메라가 작동하지 않아 불편
→ 결국 비밀번호로 돌아감.
- 예: 직원이 노트북 덮개를 닫고 독(dock)에 연결해 쓰면, 얼굴인식 카메라가 작동하지 않아 불편
- 🏢 기업의 보수적인 태도
- “사용자가 불편해하면 안 된다”는 우선순위 때문에, 보안 100% 강제보다 접근성 보장을 선택.
- 🔑 기존 습관과 호환성
- 일부 시스템은 아직 FIDO 전환을 완벽히 지원하지 않음.
💡 모범 사례: 암호화폐 거래소
보안이 생명인 암호화폐 업계에서는 이미 일부 기업들이 과감한 선택을 했습니다.
- 예: Coinbase
- 사용자가 FIDO 패스키를 등록하면 SMS 인증 비활성화 가능.
- 즉, 한 번 FIDO로 전환하면 다시 취약한 방식(MFA, SMS)으로 돌아갈 수 없음.
이처럼 고객 보호가 절대적인 업계에서는 FIDO 독점 인증 정책을 채택하기 시작했지만, 일반 기업에서는 여전히 드뭅니다.
🛡 기업과 개인을 위한 대응책
- 기업
- 가능한 한 FIDO-only 정책을 단계적으로 확대
- 브라우저/OS 업그레이드 강제 및 비FIDO 환경 최소화
- 피싱 탐지·중간자 공격 탐지 솔루션 도입
- 개인 사용자
- 로그인 시 FIDO(생체·하드웨어 키)만 선택 → SMS나 OTP는 최대한 지양
- 피싱 메일, 의심스러운 로그인 페이지 클릭 주의
- 브라우저 최신 업데이트 유지
📌 결론
FIDO는 여전히 가장 안전한 인증 기술입니다.
그러나 이번 PoC는 “강력한 보안조차도 약한 고리로 우회할 수 있다”는 사실을 보여줍니다.
👉 따라서 기업은 FIDO 강제 적용을 서두르고, 사용자들은 스스로도 안전한 인증 습관을 유지해야 합니다.
앞으로 이 방식이 실제 공격에 통합된다면, “FIDO=완벽한 보안”이라는 인식도 다시 점검해야 할 시점이 올 수 있습니다.
'CyberSecurity > Cyber Risk Insights🔐' 카테고리의 다른 글
| 🖨️ Xerox FreeFlow Core 취약점 패치: 원격 코드 실행까지 가능한 심각한 보안 위협 (2) | 2025.08.18 |
|---|---|
| 🌐 브라우저가 보안의 중심으로: 구글이 말하는 "탄소 기반 문제" 시대의 사이버 보안 (4) | 2025.08.18 |
| 💧 국가 기반시설을 노리는 새로운 사이버 위협: 물(Water)과 하수 처리 시스템 (5) | 2025.08.18 |
| 🚨 Crypto24 랜섬웨어, 보안의 마지막 방어선 EDR까지 무력화하다 (4) | 2025.08.18 |
| 🚨 러시아 해커 2개 그룹이 동시에 악용 중인 WinRAR 제로데이, CVE-2025-8088 분석 (6) | 2025.08.14 |