OTP 봇: 그것이 무엇이고 공격을 방지하는 방법

온라인 서비스에 대한 의존도가 증가함에 따라 다단계 인증(MFA)은 사이버 공격에 대한 중요한 방어선이 되었습니다. 가장 널리 사용되는 MFA 요소 중 하나는 일시적이며 계정을 무단 액세스로부터 보호하기 위한 고유한 코드인 일회용 비밀번호(OTP)입니다. 그러나 OTP는 더 이상 예전처럼 확실한 보안 수단이 아닙니다. OTP 봇이 포함된 새로운 사이버 범죄 활동이 그들의 효과를 도전하게 하고 기업과 개인 모두에게 심각한 위협을 주고 있습니다.

OTP 봇이 어떻게 작동하는지, 그들의 공격 방법은 무엇인지, 그리고 대처 방법을 이해하는 것이 중요합니다. 이 가이드는 OTP 봇 뒤의 작동 메커니즘을 분석하고 조직의 보안을 강화하기 위한 실질적인 단계를 제공합니다.

OTP란 무엇인가요?#

일회용 비밀번호 (OTP)는 단일 사용 인증을 위해 사용되는 고유하고 시간에 민감한 코드입니다. 시간 동기화 또는 암호화 계산을 기반으로 생성된 OTP는 로그인 또는 다단계 인증(MFA) 시스템에 추가 보안 층을 제공합니다.

OTPs는 여러 방법으로 전달될 수 있습니다:

• SMS 코드: 문자 또는 음성 메시지를 통해 전송됩니다.
• 이메일 코드: 사용자의 받은편지함으로 직접 전송됩니다.
• Authenticator 앱들: Google Authenticator나 Microsoft Authenticator와 같은 서비스를 통해 로컬에서 생성됩니다.

이들의 단기적인 특성은 보안을 강화하며, 앱이 생성한 코드는 보통 30초에서 60초 후에 만료되며, SMS나 이메일 코드는 5분에서 10분 동안 지속됩니다. 이러한 동적 기능은 OTP를 정적 비밀번호보다 훨씬 더 안전하게 만듭니다.

그러나 주요 취약점은 그들의 전달에 있으며, 공격자는 시스템 약점이나 사람의 실수를 악용하여 이를 가로챌 수 있습니다. 이런 위험에도 불구하고, OTP는 온라인 보안을 강화하기 위한 신뢰할 수 있는 효과적인 도구로 남아 있습니다.

MFA에서의 OTP 역할은 무엇인가요?#

다단계 인증 (MFA)을 이해하는 것은 오늘날의 디지털 환경에서 중요합니다. MFA는 사용자가 여러 요소를 통해 자신의 신원을 확인하도록 요구하여 보안을 강화하고 무단 액세스를 방지하기 위한 추가 보호 계층을 추가합니다.

일반적인 MFA 프로세스에는 다음 단계가 포함됩니다:

1. 사용자 식별자: 시스템이 사용자를 인식하는 방법입니다. 이는 사용자 이름, 이메일 주소, 전화번호, 사용자 ID, 직원 ID, 은행 카드 번호, 심지어는 사회적 신분일 수도 있습니다.
2. 첫 번째 인증 요소: 가장 일반적으로 이는 비밀번호이지만, 이메일 OTP나 SMS OTP일 수도 있습니다.
3. 두 번째 인증 요소: 첫 번째 방법과 다른 방법을 사용합니다. 예를 들어 SMS OTP, 인증 앱 OTP, 물리적인 보안 키, 지문 및 얼굴 인식 같은 생체 인식.
4. 선택적 세 번째 인증 레이어: 경우에 따라 추가 레이어가 추가됩니다. 예를 들어 새로운 장치에서 Apple 계정에 로그인할 때 추가 확인이 필요할 수 있습니다.

이 다층 프로세스는 보안을 크게 강화하며, 공격자는 특정 계정에 접속하기 위해 각 계층을 우회해야 합니다.

MFA는 보통 다음 세 가지 카테고리의 인증 요소에 의존합니다:

이 방법들을 결합함으로써 MFA는 무단 액세스에 대한 강력한 방어를 만듭니다. 이는 하나의 계층이 손상되더라도 계정의 전반적인 보안은 유지되며, 점점 더 연결된 세상에서 사용자는 향상된 보호를 받게 됩니다.

OTP 봇이란 무엇인가요?#

OTP 봇은 일회용 비밀번호(OTPs)를 훔치기 위해 특별히 설계된 자동화 도구입니다. 무차별 대입 공격과 달리, 이 봇들은 기만과 조작에 의존하며, 인적 오류, 사회 공학 전술 또는 시스템 취약점을 악용하여 보안 프로토콜을 우회합니다.

"이메일(식별자로서) + 비밀번호(첫 번째 인증 단계로서) + 소프트웨어/SMS OTP(두 번째 인증 단계로서)"의 일반적인 검증 프로세스를 예로 들어 공격은 다음 단계로 진행됩니다:

1. 공격자는 일반 사용자처럼 애플리케이션의 로그인 페이지나 API에 접근합니다.
2. 공격자는 피해자의 고정된 자격 증명(예: 이메일 주소와 비밀번호)을 입력합니다. 이러한 자격 증명은 온라인으로 구입할 수 있는 유출 사용자 정보 데이터베이스에서 자주 얻어집니다. 많은 사용자는 다양한 플랫폼에서 비밀번호를 재사용하는 경향이 있어 취약합니다. 또한, 피싱 기법은 자주 사용자를 속여 자신의 계정 정보를 드러내게 합니다.
3. OTP 봇을 사용하여 공격자는 피해자의 일회용 비밀번호를 가로채거나 검색합니다. 유효한 시간 내에 그들은 2단계 인증 프로세스를 우회합니다.
4. 공격자가 계정에 접근하면, 자산이나 민감한 정보를 전송할 수 있습니다. 피해자가 침입을 발견하는 것을 지연시키기 위해 공격자는 종종 알림 경고 또는 다른 경고 신호를 삭제하는 등의 조치를 취합니다.

이제 OTP 봇이 구현되는 방법과 이러한 취약점을 악용할 수 있게 하는 메커니즘에 대해 더 자세히 살펴보겠습니다.

OTP 봇은 어떻게 작동하나요?#

아래는 OTP 봇이 사용하는 가장 일반적인 기술과 실제 예시를 설명합니다.

피싱 봇#

피싱은 OTP 봇에 의해 가장 흔히 사용되는 방법 중 하나입니다. 작동 방식은 다음과 같습니다:

1. 미끼(사기 메시지): 피해자는 자신의 은행, 소셜미디어 플랫폼, 또는 인기 있는 온라인 서비스에서 온 신뢰할 수 있는 출처라고 가장하는 가짜 이메일이나 문자를 받습니다. 이 메시지는 보통 의심스러운 로그인 시도, 결제 문제, 계정 중단과 같은 긴급한 문제가 있다고 주장하며, 피해자에게 즉시 행동을 촉구합니다.

2. 가짜 로그인 페이지: 메시지는 피해자를 실제 웹사이트와 똑같이 보이도록 설계된 가짜 로그인 페이지로 안내하는 링크를 포함하고 있습니다. 이 페이지는 공격자가 피해자의 로그인 자격 증명을 수집하도록 설정되어 있습니다.

3. 자격 증명이 도난당하고 MFA가 촉발됨: 피해자가 가짜 페이지에 사용자 이름과 비밀번호를 입력하면, 피싱 봇은 빠르게 이 도난당한 자격 증명을 사용하여 실제 서비스에 로그인합니다. 이 로그인 시도는 일회용 비밀번호(OTP)와 같은 다단계 인증(MFA) 요청을 촉발합니다.

4. 피해자를 속여 OTP를 얻음: 피싱 봇은 가짜 페이지에 "전화로 보낸 코드를 확인을 위해 입력하세요"라는 메시지를 표시하여 피해자를 속입니다. 피해자는 이것이 합법적인 과정이라고 생각하여 OTP를 입력하게 되며, 공격자는 로그인 완료에 필요한 모든 정보를 얻게 됩니다.

예를 들어, 영국에서는 "SMS Bandits"와 같은 도구가 문자를 통해 정교한 피싱 공격을 전달하는 데 사용되었습니다. 이러한 메시지는 공식적인 통신을 흉내 내어 피해자를 속여 계정 자격 증명을 공개하게 합니다. 자격 증명이 유출되면, SMS Bandits는 OTP 절도를 시작하여 범죄자들이 다단계 인증(MFA)를 우회할 수 있게 합니다. 놀랍게도, 이러한 피싱 기법의 성공률은 대상의 전화 번호가 입력되면 약 80%에 달하여 이러한 피싱 기법의 위험성을 강조합니다.

멀웨어 봇#

멀웨어 기반의 OTP 봇은 SMS 기반의 OTP를 가로채기 위해 기기를 직접 타겟팅하는 심각한 위협입니다. 작동 방식은 다음과 같습니다:

1. 피해자가 모르게 악성 앱 다운로드: 공격자는 합법적인 소프트웨어처럼 보이는 앱을 만듭니다. 피해자는 이러한 가짜 앱을 오해의 소지가 있는 광고, 비공식 앱 스토어 또는 이메일이나 SMS를 통해 발송된 피싱 링크를 통해 자주 설치합니다.
2. 멀웨어가 민감한 권한에 접근: 설치되면, 앱은 피해자의 기기에서 SMS, 알림 또는 기타 민감한 데이터에 접근할 수 있는 권한을 요청합니다. 많은 사용자는 위험을 알지 못하고 이러한 권한을 허용함으로써 앱의 진정한 의도를 깨닫지 못합니다.
3. 멀웨어가 OTP를 모니터링하고 도난: 멀웨어는 백그라운드에서 조용히 실행되며, 수신되는 SMS 메시지를 모니터링합니다. OTP가 수신되면, 멀웨어는 이를 자동으로 공격자에게 전송함으로써 이들이 이중 인증을 우회할 수 있게 합니다.

보고서에 따르면 SMS 메시지 및 OTP를 도난하는 악성 안드로이드 앱 사용 캠페인이 113개국에 영향을 미쳤으며, 인도와 러시아가 가장 큰 타격을 입었습니다. 107,000개 이상의 멀웨어 샘플이 발견되었습니다. 감염된 휴대폰은 모르게 계정 등록에 사용되거나 2FA OTP를 수확하는 데 사용될 수 있으며, 이는 심각한 보안 위험을 야기합니다.

SIM 스와핑#

SIM 스와핑을 통해 공격자는 통신회사 제공자를 속여 피해자의 전화 번호를 통제합니다. 작동 방식:

1. 사칭: 공격자는 피싱, 사회공학, 데이터 유출을 통해 피해자에 대한 개인 정보를 수집합니다(이름, 생년월일, 계정 정보 등).
2. 제공자 연락: 이 정보를 사용하여 공격자는 피해자를 가장하여 피해자의 통신사에 SIM 카드 교체를 요청합니다.
3. 전송 승인: 통신사는 속아 피해자의 번호를 공격자가 제어하는 새 SIM 카드로 이전합니다.
4. 인터셉션: 전송이 완료되면, 공격자는 전화, 메시지, SMS 기반의 일회용 비밀번호(OTP)에 접근할 수 있게 되어 은행 계좌, 이메일 및 기타 민감한 서비스에 대한 보안 조치를 우회할 수 있게 됩니다.

SIM-스와핑 공격은 증가하고 있으며 상당한 재정적 피해를 초래하고 있습니다. 2023년에만 FBI는 1,075 SIM-스와핑 사건을 조사했으며, 4천 8백만 달러의 손실이 발생했습니다.

음성 통화 봇#

음성 봇은 고급 사회 공학 기술을 사용하여 피해자로 하여금 OTP(일회용 비밀번호)를 드러내도록 속입니다. 이러한 봇은 사전 설정된 언어 스크립트와 사용자 정의 가능한 음성 옵션을 갖추어 합법적인 콜센터를 흉내내어 신뢰할 수 있는 실체인 척 속이고 전화로 민감한 코드를 공개하도록 피해자를 조작합니다. 작동 방식:

1. 봇이 전화를 겁니다: 봇은 피해자에게 연락하여 은행이나 서비스 제공자라는 척합니다. 피해자에게 계정에서 "의심스러운 활동"이 감지되었다고 알리며 긴급성과 두려움을 조성합니다.
2. 신원 확인 요청: 봇은 피해자에게 계정을 보호하기 위해 "신원을 확인"하도록 요구합니다. 이는 피해자가 실제 서비스 제공자가 보낸 OTP를 입력하도록 요청함으로써 이루어집니다.
3. 즉각적인 계정 침해: 피해자가 OTP를 제공하면, 공격자는 몇 초 내로 이를 사용하여 피해자 계정에 접근하여 돈이나 민감한 데이터를 훔칩니다.

텔레그램 플랫폼은 사이버 범죄자들이 봇을 생성 및 관리하거나 운영의 고객 지원 채널로 자주 사용됩니다. BloodOTPbot은 은행 고객 센터를 사칭하는 자동화 된 전화를 생성할 수 있는 SMS 기반 봇의 한 예입니다.

SS7 공격#

SS7 (Signaling System 7)는 통화, SMS 및 로밍을 라우팅하는 데 중요한 통신 프로토콜입니다. 그러나 해커는 SMS를 포함한 일회용 비밀번호(OTP)를 가로챌 수 있는 취약점을 악용하여 이중 인증(2FA)을 우회할 수 있습니다. 이러한 공격은 복잡하지만 주요 사이버 범죄에서 데이터와 돈을 훔치는 데 사용되었습니다. 이는 SMS 기반 OTP를 앱 기반 인증기나 하드웨어 토큰과 같은 더 안전한 옵션으로 대체할 필요성을 강조합니다.

OTP 봇 공격을 차단하는 방법은 무엇입니까?#

OTP 봇 공격은 점점 더 효과적이고 확산되고 있습니다. 금융 계정, 암호 화폐 지갑 및 소셜 미디어 프로필을 포함한 온라인 계정의 가치는 사이버 범죄자에게 매력적인 타겟이 됩니다. 또한, 텔레그램 기반 봇과 같은 도구를 통한 공격 자동화는 아마추어 해커에게도 이러한 위협을 더욱 쉽게 접근할 수 있게 했습니다. 마지막으로, 많은 사용자는 MFA 시스템에 맹목적으로 신뢰하여 OTP가 얼마나 쉽게 악용될 수 있는지를 자주 과소 평가합니다.

따라서 조직을 OTP 봇으로부터 보호하려면 여러 핵심 영역에서 보안을 강화해야 합니다.

기본 인증 보안을 강화하라#

사용자 계정에 대한 접근을 얻기 위해 여러 보호 층을 극복해야 하며, 따라서 첫 번째 인증 층이 중요합니다. 앞서 언급한 것처럼 비밀번호 하나로는 OTP 봇 공격에 매우 취약합니다.

• 소셜 로그인 또는 기업 SSO를 사용: Google, Microsoft, Apple과 같은 안전한 제3자 ID 공급자(IdPs)를 기본 인증에 사용하거나, SSO를 위한 Okta, Google Workspace, Microsoft Entra ID를 사용합니다. 이러한 비밀번호 없는 방법은 공격자가 쉽게 악용할 수 있는 비밀번호에 대한 보다 안전한 대안을 제공합니다.
• CAPTCHA 및 봇 감지 도구를 구현하라: 자동화된 접근 시도를 차단하기 위해 봇 감지 솔루션을 배포하여 시스템을 보호합니다.
• 비밀번호 관리 강화: 비밀번호가 여전히 사용 중인 경우, 더 엄격한 비밀번호 정책을 시행하고, 사용자들에게 (Google Password Manager 또는 iCloud Passwords를 사용하도록 패스워드 관리자 사용을 권장하며, 향상된 보안을 위해 주기적인 비밀번호 업데이트를 요구합니다.

스마트한 다단계 인증을 적용하라#

첫 번째 방어선이 침범되었을 때, 두 번째 검증 층이 중요해집니다.

• 하드웨어 기반 인증으로 전환하라: SMS OTP를 피싱, SIM 스와핑 및 중간자 공격에 저항력 있는 보안 키(예: YubiKey) 또는 FIDO2 표준을 따르는 패스키로 교체하세요, 강력한 보안 층을 제공합니다.
• 적응형 MFA 구현: 적응형 MFA는 사용자 위치, 기기, 네트워크 행동 및 로그인 패턴과 같은 컨텍스트 요인을 지속적으로 분석합니다. 예를 들어, 인식되지 않은 기기나 비정상적인 지리적 위치에서 로그인을 시도하면 시스템은 자동으로 보안 질문에 답하거나 생체인증을 통해 신원을 확인하는 추가 단계를 요청할 수 있습니다.

사용자 교육#

인간은 여전히 가장 약한 연결 고리이므로 교육을 최우선 순위로 삼습니다.

• 피싱 위험을 최소화하려면 명확한 브랜드 및 URL을 사용하세요.
• 사용자가 피싱 시도 및 악성 앱을 인식할 수 있도록 교육합니다. 사용자에게 목소리로 OTP를 공유하거나, 설득력 있는 피싱 페이지의 정체를 주기적으로 상기시키나요.
• 비정상적인 계정 활동이 감지되면 관리자에게 신속하게 알리거나 프로그래밍적으로 작업을 종료합시다. 감사 로그 및 웹훅이 이 프로세스를 도울 수 있습니다.

전용 도구로 인증을재고하라#

자체 ID 관리 시스템을 구현하는 것은 비용이 많이 들고 자원이 많이 소모됩니다. 대신, 기업은 전문 인증 서비스와 제휴하여 사용자 계정을 보다 효율적으로 보호할 수 있습니다.

Logto와 같은 솔루션은 유연성과 강력한 보안을 결합하여 제공합니다. 적응형 기능과 쉽게 통합할 수 있는 옵션을 통해 Logto는 조직이 OTP 봇과 같은 최신 보안 위협에 앞서 나갈 수 있도록 돕습니다. 또한 이는 비즈니스 성장이 가속화됨에 따라 보안을 확장하는 비용 효율적인 선택입니다.

Logto Cloud 및 Logto OSS와 같은 Logto의 전체 기능을 알아보려면 Logto 웹사이트를 방문하세요: