“MFA도 무용지물?” 스타킬러 피싱 키트 이용한 계정 탈취 공격 확산

MFA 우회 중간자 공격 피싱 플랫폼 ‘스타킬러’ 등장, 세션 토큰 탈취 공격
OAuth 기기 인증 악용·캡차 위장 사이트 등 고도화 피싱 캠페인 확대

[보안뉴스 김형근 기자] 보안 전문기업 애브노멀시큐리티(Abnormal Security) 연구팀이 다요소인증(MFA)을 우회하는 새로운 피싱 플랫폼 ‘스타킬러’(Starkiller)의 위험성을 경고했다.

[출처: gettyimagesbank]

이 플랫폼은 중간자 공격(AitM) 리버스 프록시 기술을 사용해 사용자와 실제 사이트 사이에서 모든 데이터를 중계한다.

공격자는 도커(Docker) 컨테이너 환경에서 헤드리스 크롬(Headless Chrome)을 구동해 실제 브랜드 사이트를 실시간으로 미러링한다. 이 방식은 정상 웹사이트와 거의 동일한 환경을 구현해 사용자가 위조 여부를 인지하기 어렵게 만든다.

사용자가 입력하는 모든 키 스트로크와 폼 데이터, 세션 토큰은 모두 공격자의 인프라를 거치며 캡처되고, 이후 계정 탈취에 악용될 수 있다.

스타킬러는 피싱 페이지 배포와 세션 모니터링 기능을 단일 관리 패널로 통합한 것이 특징이다. 이로 인해 기술 숙련도가 낮은 범죄자도 손쉽게 계정 탈취 공격을 수행할 수 있는 환경이 조성됐다는 분석이다.

애브노멀이 분석한 또다른 피싱 키트 원피시(1Phish)는 원패스워드(1Password) 사용자를 식별하기 위해 기기 고유의 특성을 분석하는 브라우저 핑거프린팅 기술과 일회용 비밀번호(OTP)를 실시간으로 가로채는 기능을 결합한 것으로 확인됐다. 이를 통해 단계별 피싱 공격 수행 능력을 한층 강화한 것으로 평가된다.

또 북미 지역에서 오스(OAuth) 2.0 장치 인증 흐름을 악용해 마이크로소프트 365 계정을 침해하는 공격 캠페인도 포착됐다. 피해자가 정상적 마이크로소프트 로그인 포털에 접속하도록 유도한 뒤, 탈취한 기기 코드를 활용해 계정 권한을 확보하는 방식이다.

이와 함께 미국 금융권을 노린 피싱 공격에선 클라우드플레어의 캡차 보안 인증 페이지를 모방한 다단계 피싱 사이트가 운영되는 사례도 확인됐다. 이 사이트는 사용자 의심을 피하기 위해 정상 인증 절차와 유사한 화면을 제공한다.

이러한 공격은 리퍼러 검증과 코드 난독화를 통해 자동화된 보안 스캐너의 탐지를 회피하는 전략을 구사한다.

피싱 공격 도구가 SaaS 형태로 유통되면서 고도화된 계정 탈취 공격을 누구나 수행할 수 있는 위협 환경이 형성되고 있다는 우려가 제기된다.