비밀번호 재설정 사회공학 공격 - 헬프데스크 타겟팅

비밀번호 재설정 사회공학 공격: HelpDesk 타겟팅의 심층 분석

개요

비밀번호 재설정은 보안 사고 발생 시 가장 기본적이고 중요한 대응 수단이지만, 최근 공격자들은 HelpDesk(서비스데스크)를 타겟으로 하는 사회공학 기법을 통해 비밀번호 재설정 프로세스를 악용하고 있다. 이러한 공격은 MFA(다단계 인증)가 도입된 환경에서도 효과적으로 작동하며, UNC3944 같은 공격 집단은 HelpDesk 관리자와 소통하여 권한 있는 계정의 비밀번호를 재설정하고 연관된 MFA 보호까지 우회할 수 있다.

공격 기법의 이해

MFA 프롬프트 폭격(MFA Prompt Bombing)

MFA 프롬프트 폭격은 공격자가 타겟에게 지속적인 MFA 승인 요청을 보내 피로도를 유발하고, 실수로 승인을 누르게 만드는 기법이다. 이와 함께 HelpDesk에 전화하여 비밀번호 재설정을 요청하면, 공격자는 두 가지 경로를 통해 계정 접근을 시도할 수 있다. MFA는 인증 순간만 보호하며, 한 번 인증되면 브라우저가 세션 토큰을 유지하므로 인증 후 단계는 더 취약하다.

HelpDesk 소셜 엔지니어링

HelpDesk 직원은 정상적인 사용자를 지원하기 위해 비밀번호 재설정을 자주 수행한다. 공격자는 이를 악용하여 다양한 기법을 사용한다.

• 전화 사칭(Vishing): 공격자가 직원이나 경영진을 사칭하고 급급한 상황을 설명하며 비밀번호 재설정을 요청한다. SLH 그룹 같은 범죄 집단은 여성을 모집하여 IT HelpDesk 대상 보이스 피싱 공격을 전개하고 있으며, 전화당 500~1,000달러를 지급한다.

• 이메일 피싱: 비밀번호 재설정 요청이 들어온 것처럼 보이는 피싱 이메일을 발송하여 HelpDesk 직원이 조작된 링크를 클릭하거나 피해자의 정보를 입력하게 한다.

• 신원 검증 회피: 공격자는 다양한 정보를 사전에 수집하여 HelpDesk의 신원 검증 질문을 회피한다. 임원이나 외부 계약직원에 대한 예외 정책을 악용하기도 한다.

실제 사례 분석

MGM 리조트 해킹 사건

MGM 리조트 해킹 사건에서는 HelpDesk에 대한 전화 한 통화가 침해의 시작이었을 가능성이 제기되었다. 공격자는 직원을 사칭하여 비밀번호 재설정을 요청했고, 이를 통해 MFA를 우회하여 내부 시스템에 접근했다.

UNC3944 공격

사이버 범죄 집단 UNC3944는 일관된 기법을 사용하여 HelpDesk를 타겟팅했다. 이들은 서비스데스크 관리자와 상호작용하여 권한 있는 계정의 비밀번호를 재설정하고 연관된 MFA 보호까지 우회했다.

Apple 사용자 대상 공격

애플의 비밀번호 재설정 기능에 존재하는 것으로 보이는 버그를 악용한 피싱 공격이 증가했다. 다수의 애플 사용자가 애플 ID 비밀번호 변경 요청 알림을 받았고, 이를 통해 공격자는 계정 접근을 시도했다.

HelpDesk 취약점 분석

인적 요인

HelpDesk 직원은 사용자 지원을 최우선으로 생각한다. 급급을 호소하는 요청이나 임원의 요청에는 더 신속하게 응답하려는 경향이 있으며, 이를 공격자가 악용한다.

프로세스 취약점

• 불충분한 신원 검증: 전화번호나 이메일만으로 신원을 확인하는 경우가 많다.
• 예외 정책 악용: 임원이나 계약직원에 대한 별도 프로세스를 공격자가 타겟팅한다.
• 문서화 부족: 비밀번호 재설정 요청이 충분히 문서화되지 않아 사후 추적이 어렵다.

기술적 제약

• Self-Service Password Reset(SSPR) 미도입: 자동화된 시스템이 없어 HelpDesk에 의존해야 한다.
• MFA 재설정 취약점: 비밀번호와 함께 MFA 장치도 재설정될 수 있다.
• 세션 토큰 노출: 인증 후 세션 하이재킹 가능성이 존재한다.

방어 전략

기술적 대책

피싱 저항성 MFA 도입

FIDO2 기반 인증(하드웨어 보안 키, 디바이스 바운드 키와 함께 생체인식)을 우선적으로 도입한다. 공개키 암호화를 사용하므로 피싱에 저항성이 있으며, 비밀번호 재설정 후에도 세션 보호가 가능하다.

다층 신원 검증

비밀번호 재설정 요청 시 다층 신원 검증을 요구한다.

• 전화 번호 인증(사전 등록된 번호로 콜백)
• 이메일 인증 링크
• 관리자 승인 요구(특히 권한 있는 계정)
• 추가 인증 질문(조회 불가능한 개인 질문이 아닌 동적 질문)

HelpDesk 프로세스 강화

• 비밀번호 재설정 요청 사전 등록 시스템 도입
• 비정상 시간대의 요청에 대한 추가 검증
• 임원 계정에 대한 별도 승인 프로세스
• 모든 요청의 자동 로깅 및 이상 탐지 모니터링

운영적 대책

직원 교육

HelpDesk 직원을 대상으로 소셜 엔지니어링 인식 교육을 정기적으로 실시한다.

• 급급 요청에 대한 회의적 태도
• 신원 검증 프로토콜 엄격 준수
• 의심스러운 요청 즉시 보고 체계

이상 탐지 모니터링

다음과 같은 이상 탐지를 모니터링해야 한다.

• 임원의 비정상적인 비밀번호 재설정 요청
• 새로 등록된 회사 도메인 모방(예: yourcompanyhelpdesk.com)
• 의심스러운 MFA 장치 등록
• 거주용 VPN 또는 익숙하지 않은 위치에서의 로그인 시도
• 업무 시간 외 자격증명 변경 요청

정책적 대책

• 비밀번호 재설정을 위한 공식 채널 명확화
• SSPR(Self-Service Password Reset) 도입 확대
• 권한 있는 계정에 대한 별도 보안 정책
• 사고 발생 시 즉각적인 계정 잠금 및 조사 프로세서

결론

비밀번호 재설정 사회공학 공격은 HelpDesk를 타겟으로 하여 MFA가 있는 환경에서도 효과적으로 작동한다. 공격자는 전화 사칭, 피싱, 신원 검증 회피 등 다양한 기법을 사용하며, 이를 방어하기 위해서는 기술적, 운영적, 정책적 대책이 통합적으로 적용되어야 한다. FIDO2 기반 인증 도입, 다층 신원 검증, 직원 교육, 이상 탐지 모니터링이 중요하다.

HelpDesk는 보안의 최전선자 가장 취약한 지점이다. 조직은 HelpDesk 프로세스를 재검토하고 강화하여 사회공학 공격에 대한 회복 탄력성을 확보해야 한다.

참고자료

• Krebs On Security: https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/
• GetNametag: https://getnametag.com/newsroom/helpdesk-social-engineering-how-to-prevent-it
• Obsidian Security: https://www.obsidiansecurity.com/blog/dissecting-real-world-help-desk-social-engineering-attacks
• The Hacker News: https://thehackernews.com/2024/02/4-ways-hackers-use-social-engineering.html
• Ping Identity: https://www.pingidentity.com/en/resources/blog/post/preventing-help-desk-compromise.html
• HYPR: https://www.hypr.com/blog/prevent-helpdesk-social-engineering-attacks
• BleepingComputer: https://www.bleepingcomputer.com/news/security/regular-password-resets-arent-as-safe-as-you-think/

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨다면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.