VoidProxy 피싱 서비스

VoidProxy는 서비스형 피싱(PhaaS, Phishing-as-a-Service) 플랫폼으로, 해커들에게 다중 인증(MFA)을 우회하여 마이크로소프트와 구글 계정을 탈취할 수 있는 도구를 제공합니다.

VoidProxy의 작동 방식 (Adversary-in-the-Middle 공격)

VoidProxy는 '중간자 공격(Adversary-in-the-Middle, AitM)'이라는 정교한 기술을 사용합니다. 공격 과정은 다음과 같습니다.

1. 피싱 이메일 발송: 해커는 먼저 신뢰할 수 있는 이메일 서비스 제공업체(ESP)의 계정을 통해 피싱 이메일을 보냅니다. 합법적인 발신처에서 온 것처럼 보이기 때문에 스팸 필터를 쉽게 통과합니다.
2. 가짜 로그인 페이지로 유인: 사용자가 이메일의 링크를 클릭하면, 마이크로소프트나 구글의 실제 로그인 페이지와 똑같이 생긴 가짜 웹사이트로 이동하게 됩니다.
3. 정보 가로채기: 사용자가 이 가짜 페이지에 아이디, 비밀번호, 그리고 다중 인증(MFA) 코드까지 입력하면, VoidProxy 시스템이 이 모든 정보를 실시간으로 가로챕니다.
4. 세션 쿠키 탈취 및 계정 장악: 가장 중요한 것은, 로그인 상태를 유지해 주는 '세션 쿠키'를 훔친다는 점입니다. 해커는 이 쿠키를 이용해 모든 보안 절차를 우회하고, 마치 정상적인 사용자인 것처럼 계정에 자유롭게 접근할 수 있게 됩니다.

VoidProxy의 특징

• 정교한 인프라: VoidProxy는 쉽게 추적당하지 않기 위해, 발견되면 바로 버릴 수 있는 '일회용 프론트엔드'와 핵심 기능을 유지하는 '탄력적인 백엔드'의 이중 구조로 설계되었습니다.
• 탐지 회피 기술: 해킹된 이메일 계정, 여러 번의 리디렉션, 클라우드플레어 캡챠(CAPTCHA)와 같은 보안 확인 절차 등을 여러 겹으로 사용하여 보안 전문가들의 추적을 어렵게 만듭니다.
• 자동화된 시스템: 해커는 관리자 패널을 통해 텔레그램과 같은 메신저로 탈취한 정보를 실시간으로 전송받을 수 있어 매우 자동화된 공격이 가능합니다.

발견 및 대응 방안

이 서비스는 Okta의 피싱 방지 인증 시스템인 'Okta FastPass'로 보호받는 사용자를 공격하다가 실패하면서 결국 발견되었습니다.

Okta의 위협 인텔리전스 담당 부사장은 이러한 위협으로부터 사용자를 보호하는 가장 좋은 방법은 피싱 저항성이 있는 인증 수단(phishing-resistant authenticators)을 사용하는 것이라고 조언했습니다. 이런 종류의 인증은 해커가 로그인 정보를 훔치는 것 자체를 불가능하게 만들어 가장 효과적인 방어 수단이 됩니다.

요약하자면, VoidProxy는 다중 인증(MFA)까지 뚫을 수 있는 매우 정교하고 자동화된 피싱 서비스이며, 이에 대응하기 위해서는 단순한 MFA를 넘어 피싱 공격 자체를 막을 수 있는 강력한 보안 인증 체계를 갖추는 것이 중요하다는 내용입니다.

Okta FastPass(옥타 패스트패스)

간단히 말해, Okta FastPass는 기존의 비밀번호나 SMS 인증 코드 방식의 약점을 보완한 강력한 피싱 방지 인증 기술입니다. 단순한 2단계 인증(MFA)을 넘어, 사용자가 피싱 사이트에 속아 인증 정보를 입력하더라도 해커가 계정을 탈취할 수 없도록 설계되었습니다.

Okta FastPass의 작동 원리 (암호학 기반)

Okta FastPass의 핵심은 **공개 키 암호 방식(Public Key Cryptography)**을 이용해 사용자의 기기 자체를 하나의 '열쇠'로 만드는 것입니다.

1. 최초 등록 (키 생성): 사용자가 자신의 스마트폰이나 노트북에 Okta Verify 앱을 설치하고 FastPass를 활성화하면, 기기 내의 안전한 공간(예: TPM, Secure Enclave)에 한 쌍의 암호화 키(개인 키와 공개 키)가 생성됩니다.
   • 개인 키(Private Key): 절대 기기 밖으로 나가지 않는 '비밀 열쇠'입니다.
   • 공개 키(Public Key): '자물쇠' 역할을 하며, Okta 서버에 등록됩니다.
2. 로그인 시도 (서명 및 검증):
   • 사용자가 로그인을 시도하면, Okta 서버가 일회성의 '도전(Challenge)' 값을 기기로 보냅니다.
   • 기기는 보관하고 있던 개인 키로 이 값을 암호화하여 서명(Sign)한 뒤 Okta 서버로 다시 보냅니다.
   • Okta 서버는 미리 받아두었던 공개 키로 이 서명을 검증합니다. 검증에 성공하면, "아, 이 사용자는 우리가 등록한 바로 그 기기를 가지고 있구나"라고 확신하고 로그인을 허용합니다.

왜 피싱에 강한가요?

기존의 MFA 방식(SMS, OTP 앱 등)은 사용자가 피싱 사이트에서 아이디, 비밀번호, 그리고 인증 코드까지 입력하면 해커가 그 정보를 그대로 가로채서 악용할 수 있었습니다. 이를 '중간자 공격(AitM)'이라고 하죠.

하지만 Okta FastPass는 이 문제를 다음과 같이 해결합니다.

• 비밀 정보(개인 키)가 절대 전송되지 않음: 사용자는 어떤 비밀번호나 코드를 입력하지 않습니다. 모든 인증 과정은 기기 내부의 개인 키와 서버의 공개 키 사이의 암호학적 서명과 검증을 통해 이루어집니다. 해커가 중간에서 통신을 가로채도 개인 키 자체를 훔칠 수 없습니다.
• 오리진(Origin) 바인딩: 인증 요청은 합법적인 서비스(예: https://www.google.com/search?q=google.com)에서 온 것인지 확인하는 절차를 포함합니다. 해커가 만든 피싱 사이트(예: https://www.google.com/search?q=go0gle.com)에서 인증을 시도하면, 이 출처 정보가 일치하지 않아 인증 자체가 실패합니다.

Okta FastPass의 주요 장점

• 강력한 보안: 비밀번호를 대체하고 정교한 피싱 공격을 근본적으로 차단하여 보안 수준을 크게 향상시킵니다.
• 비밀번호 없는(Passwordless) 경험: 사용자는 더 이상 복잡한 비밀번호를 외우거나 입력할 필요가 없습니다. Face ID, 지문 인식 등 기기의 생체 인증과 결합하여 훨씬 빠르고 편리하게 로그인할 수 있습니다.
• 사용자 경험 향상: 로그인 절차가 간소화되어 업무 생산성이 높아지고, 비밀번호 분실로 인한 IT 지원팀의 부담도 줄어듭니다.
• 기기 신뢰도 확인: 단순히 사용자를 인증하는 것을 넘어, 로그인하는 기기가 회사의 보안 정책을 준수하는지(관리되는 기기인지, 백신이 설치되었는지 등) 확인하는 '장치 컨텍스트' 기반의 접근 제어도 가능합니다.

결론적으로 Okta FastPass는 이전 대화의 VoidProxy와 같은 최신 피싱 공격에 대응하기 위해 만들어진 차세대 인증 기술이라고 할 수 있습니다.