OTP 봇: 무엇이며 공격을 방지하는 방법

온라인 서비스에 대한 의존도가 증가함에 따라 다중 인증 (MFA)은 사이버 공격에 대한 중요한 방어선이 되었습니다. 널리 사용되는 MFA 요소 중 하나는 일회용 비밀번호 (OTP)이며, 이는 계정을 불법적으로 액세스하는 것을 방지하기 위한 임시 고유 코드입니다. 그러나 OTP는 더 이상 과거처럼 완벽하지 않습니다. OTP 봇을 중심으로 하는 새로운 사이버 범죄 활동은 그 효과를 도전하고 있으며, 기업과 개인에게 심각한 위협을 가하고 있습니다.

OTP 봇의 기능과 공격 방법, 그리고 이를 방어하기 위한 전략을 이해하는 것은 필수적입니다. 이 가이드는 OTP 봇의 메커니즘을 분석하고 보안을 강화하기 위해 조직이 취할 수 있는 실질적인 단계를 제공합니다.

OTP란 무엇인가?#

일회용 비밀번호 (OTP)는 한 번만 사용할 수 있는 인증을 위한 고유하고 시간 민감적인 코드입니다. 시간 동기화 또는 암호화 계산을 기반으로 생성된 OTP는 로그인 또는 다중 인증 (MFA) 시스템에 추가적인 보안 계층을 제공합니다.

OTP는 여러 가지 방법으로 전달될 수 있습니다:

• SMS 코드: 문자 메시지 또는 음성 메시지를 통해 전송됩니다.
• 이메일 코드: 사용자의 이메일로 직접 발송됩니다.
• 인증 앱: Google 인증기 또는 Microsoft 인증기와 같은 서비스로 로컬에서 생성됩니다.

OTP의 단기 유효성은 보안을 강화하며, 앱으로 생성되는 코드는 일반적으로 3060초 내에 만료되며, SMS나 이메일 코드는 510분 지속됩니다. 이러한 동적인 기능은 OTP를 정적인 비밀번호보다 훨씬 더 안전하게 만듭니다.

그러나 그 전달 과정에 큰 취약점이 있으며, 공격자는 시스템 취약점이나 인간의 실수를 악용하여 이를 가로챌 수 있습니다. 이러한 위험에도 불구하고 OTP는 온라인 보안을 강화하기 위한 신뢰할 수 있는 효과적인 도구로 남아 있습니다.

OTP의 MFA 역할은 무엇인가?#

오늘날 디지털 환경에서 다중 인증 (MFA)를 이해하는 것이 중요합니다. MFA는 사용자가 여러 요소를 통해 본인임을 확인하도록 요구함으로써 보안을 강화하여 불법 액세스를 방지합니다.

일반적인 MFA 프로세스는 다음과 같은 단계로 진행됩니다:

1. 사용자 식별자: 시스템이 사용자를 식별하는 방법입니다. 사용자명, 이메일 주소, 전화번호, 사용자 ID, 직원 ID, 은행 카드 번호, 또는 심지어 소셜 아이덴티티일 수 있습니다.
2. 첫 번째 인증 요소: 일반적으로 비밀번호이지만, 이메일 OTP나 SMS OTP일 수도 있습니다.
3. 두 번째 인증 요소: 첫 번째 요소와 다른 방법을 사용하며, SMS OTP, 인증 앱 OTP, 물리적 보안 키, 또는 지문과 얼굴 인식과 같은 생체 인증이 포함됩니다.
4. 선택적 세 번째 인증 계층: 일부 경우에 추가적인 계층이 추가됩니다. 예를 들어, 새로운 장치에서 Apple 계정에 로그인할 때 추가 인증이 필요할 수 있습니다.

이 다층 프로세스는 보안을 크게 향상시키며, 공격자는 각 계층을 우회해야 계정에 액세스할 수 있습니다.

MFA는 일반적으로 세 가지 카테고리의 인증 요소에 의존합니다:

이러한 방법을 결합함으로써 MFA는 불법 액세스에 대한 강력한 방어를 만듭니다. 즉, 한 계층이 침해되더라도 계정의 전반적인 보안은 유지되어 점점 더 연결된 세상에서 사용자에게 강화된 보호를 제공합니다.

OTP 봇이란?#

OTP 봇은 일회용 비밀번호 (OTP)를 훔치기 위해 고안된 자동화 도구입니다. 이러한 봇은 무차별 해킹 공격과 달리, 속임수와 조작에 의존하며, 사람의 실수, 사회 공학 전술 또는 시스템 취약점을 악용하여 보안 프로토콜을 우회합니다.

"이메일 (식별자로서) + 비밀번호 (첫 번째 인증 단계로서) + 소프트웨어/SMS OTP (두 번째 인증 단계로서)"의 일반적인 인증 프로세스를 예로 들면 공격은 다음과 같은 단계로 진행됩니다:

1. 공격자는 정상 사용자처럼 애플리케이션의 로그인 페이지 또는 API에 접근합니다.
2. 공격자는 피해자의 고정 자격 증명(예: 이메일 주소 및 비밀번호)을 입력합니다. 이러한 자격 증명은 온라인에서 쉽게 구입할 수 있는 유출된 사용자 정보 데이터베이스에서 종종 확보됩니다. 많은 사용자가 서로 다른 플랫폼에서 비밀번호를 재사용하는 경향이 있기 때문에 더욱 취약해집니다. 또한 피싱 기술이 종종 사용자를 속여 계정 세부정보를 입력하도록 합니다.
3. OTP 봇을 사용하여 공격자는 피해자의 일회용 비밀번호를 가로채거나 획득합니다. 유효한 시간 내에 그들은 2단계 인증 프로세스를 우회합니다.
4. 공격자가 계정에 접근하면 자산이나 민감한 정보를 이전할 수 있습니다. 피해자가 침해 사실을 발견하는 것을 지연시키기 위해 공격자는 알림 경고나 경고 신호를 삭제하는 등의 조치를 취하는 경우가 많습니다.

이제 OTP 봇이 어떻게 구현되고 이러한 취약점을 활용할 수 있는 메커니즘을 더 자세히 살펴보겠습니다.

OTP 봇은 어떻게 작동합니까?#

아래는 실제 사례와 함께 설명된 OTP 봇에서 사용되는 가장 일반적인 기술입니다.

피싱 봇#

피싱은 OTP 봇에 의해 사용되는 가장 일반적인 방법 중 하나입니다. 작동 방식은 다음과 같습니다:

1. 미끼 (사기 메시지):
   피해자는 신뢰할 수 있는 출처인 척하는 은행, 소셜 미디어 플랫폼 또는 잘 알려진 온라인 서비스에서 보낸 것처럼 꾸민 가짜 이메일 또는 문자 메시지를 수신합니다. 이 메시지는 보통 긴급한 문제, 예를 들어 의심스러운 로그인 시도, 결제 문제 또는 계정 정지와 관련하여 피해자에게 즉각적인 조치를 요구하게 합니다.

2. 가짜 로그인 페이지:
   메시지에는 피해자를 공식 웹사이트처럼 보이도록 설정된 가짜 로그인 페이지로 연결하는 링크가 포함되어 있습니다. 이 페이지는 공격자가 피해자의 로그인 자격 증명을 캡처하기 위해 설정되었습니다.

3. 자격 증명 도난 및 MFA 트리거:
   피해자가 가짜 페이지에 사용자 이름과 비밀번호를 입력하면 피싱 봇은 이 도난된 자격 증명을 사용하여 실제 서비스에 로그인합니다. 이 로그인 시도는 일회용 비밀번호 (OTP)를 피해자의 전화로 전송하는 다중 인증 (MFA)을 요청하게 합니다.

4. 피해자를 속여 OTP 얻기:
   피싱 봇은 가짜 페이지에 “전화로 전송된 코드를 입력하여 확인하세요”와 같은 프롬프트를 표시하여 피해자로부터 OTP를 얻습니다. 이것이 합법적인 과정이라고 생각하여 피해자는 OTP를 입력하며, 공격자는 실제 서비스에서 로그인을 완료하는 데 필요한 모든 것을 얻게 됩니다.

예를 들어, 영국에서는 "SMS Bandits"와 같은 도구가 문자 메시지를 통해 정교한 피싱 공격을 전달하는 데 사용되었습니다. 이러한 메시지는 공식 통신을 모방하여 피해자로부터 계정 자격 증명을 유출하도록 속입니다. 자격 증명이 손실되면 SMS Bandits는 OTP 절도를 시작하여 다중 인증(MFA)을 우회할 수 있게 합니다. 놀랍게도 이러한 봇은 대상의 전화번호가 입력되면 약 80%의 성공률을 달성하며, 이러한 피싱 계획의 위험한 효과를 강조합니다. 자세히 알아보기

멀웨어 봇#

멀웨어 기반 OTP 봇은 SMS 기반 OTP를 가로채기 위해 장치를 직접 겨냥하는 심각한 위협입니다. 작동 방식은 다음과 같습니다:

1. 피해자는 악성 앱을 무의식적으로 다운로드:
   공격자는 은행 또는 생산성 도구와 같은 합법적인 소프트웨어처럼 보이는 앱을 만듭니다. 피해자는 종종 오해하는 광고, 비공식 앱 스토어 또는 이메일이나 문자 메시지로 전송되는 피싱 링크를 통해 이러한 가짜 앱을 설치합니다.
2. 멀웨어가 민감한 권한에 액세스:
   설치되면 앱은 피해자의 장치에서 SMS, 알림 또는 기타 민감한 데이터에 대한 권한을 요청합니다. 많은 사용자는 이러한 앱의 진정한 의도를 인식하지 않고 이러한 권한을 기꺼이 부여합니다.
3. 멀웨어가 OTP를 모니터링 및 도난:
   멀웨어는 백그라운드에서 침묵적으로 실행되어 들어오는 SMS 메시지를 모니터링합니다. OTP가 수신되면 멀웨어는 이를 자동으로 공격자에게 전달하여 2단계 인증을 우회할 수 있는 능력을 제공합니다.

한 보고서에 따르면 악성 Android 앱을 사용하여 SMS 메시지, OTP를 포함하여 113개국에 영향을 미치는 캠페인이 밝혀졌습니다. 인도와 러시아가 가장 크게 타격을 입었습니다. 107,000개 이상의 멀웨어 샘플이 발견되었습니다. 감염된 전화는 모르게 계정을 등록하고 2FA OTP를 수확하는 데 사용될 수 있으며 심각한 보안 위험을 초래합니다. 자세히 알아보기

SIM 교체#

SIM 교체를 통해 공격자는 통신 제공자를 속여 피해자의 전화번호를 통제합니다. 작동 방식:

1. 가장:
   공격자는 피싱, 사회 공학 또는 데이터 유출을 통해 피해자의 개인 정보(예: 이름, 생년월일 또는 계정 세부정보)를 수집합니다.
2. 제공자 연락:
   이 정보를 사용하여 공격자는 피해자로 가장해 피해자의 통신 제공자에게 SIM 카드 교체를 요청합니다.
3. 전송 승인:
   제공자는 피해자의 번호를 공격자가 제어하는 새 SIM 카드로 전송하도록 속습니다.
4. 가로채기:
   전송이 완료되면 공격자는 전화, 메시지 및 SMS 기반 일회용 비밀번호 (OTP)에 접근할 수 있으며, 이를 통해 은행 계좌, 이메일 및 기타 민감한 서비스에 대한 보안 조치를 우회할 수 있습니다.

교체 공격이 증가하며, 상당한 재정적 피해를 야기하고 있습니다. 2023년 한 해에만 FBI는 1,075건의 SIM 교체 사건을 조사하였으며, 이로 인한 손실은 4,800만 달러에 달했습니다. 자세히 알아보기

음성 통화 봇#

음성 봇은 피해자를 속여 OTP(일회용 비밀번호)를 공개하도록 만들기 위해 고급 사회 공학 기술을 사용합니다. 이러한 봇은 사전 설정된 언어 스크립트와 사용자 정의 가능한 음성 옵션을 갖추고 있으며, 정품 콜센터처럼 가장하여 피해자로부터 민감한 코드를 전화로 공개하도록 조작합니다. 작동 방식:

1. 봇이 전화함: 봇은 은행이나 서비스 제공자라고 주장하며 피해자에게 연락을 취합니다. 피해자에게 계정에 "의심스러운 활동"이 감지되었다고 알려 긴급성과 공포를 조성합니다.
2. 신원 확인 요청: 봇은 피해자의 계정을 보호하기 위해 "신원을 확인"할 것을 요구합니다. 이는 피해자로부터 실제 서비스 제공자가 보낸 OTP를 전화로 입력하도록 요청함으로써 수행됩니다.
3. 즉각적인 계정 침입: 피해자가 OTP를 제공하면 공격자는 몇 초 안에 이를 사용하여 피해자의 계정에 침투하고 종종 돈이나 민감한 데이터를 도난합니다.

텔레그램 플랫폼은 사이버 범죄자가 봇을 생성 및 관리하거나 운영에 대한 고객 지원 채널로 활용하는 사례가 많습니다. BloodOTPbot과 같은 SMS 기반 봇은 은행의 고객 지원을 가장하여 자동 전화를 생성할 수 있습니다.

SS7 공격#

SS7 (Signaling System 7)은 통화, SMS 및 로밍을 라우팅하기 위한 통신 프로토콜입니다. 그러나 이는 해커가 SMS, 일회용 비밀번호(OTP)를 포함하여 가로채고 2단계 인증(2FA)을 우회하는 데 악용할 수 있는 취약점을 가지고 있습니다. 이러한 공격은 복잡하지만, 데이터와 돈을 도난하기 위한 주요 사이버 범죄에 사용되었습니다. 이는 SMS 기반 OTP를 앱 기반 인증기나 하드웨어 토큰과 같은 더 안전한 옵션으로 대체해야 할 필요성을 강조합니다.

OTP 봇 공격을 방지하는 방법?#

OTP 봇 공격은 점점 더 효과적이고 광범위해지고 있습니다. 금융 계좌와 암호화폐 지갑, 소셜 미디어 프로필 등을 포함하는 온라인 계정의 가치가 증가하면서 이는 사이버범죄자에게 유혹적인 목표가 되고 있습니다. 또한 텔레그램 기반 봇과 같은 도구를 통해 공격이 자동화되면서, 아마추어 해커에게도 이러한 위협이 더욱 접근 가능해졌습니다. 마지막으로, 많은 사용자가 MFA 시스템에 맹목적인 신뢰를 두고 있으며, OTP가 얼마나 쉽게 악용될 수 있는지를 과소평가하고 있습니다.

따라서 조직을 OTP 봇의 위협으로부터 보호하려면 몇 가지 주요 영역에 걸쳐 보안을 강화해야 합니다.

기본 인증 보안 강화하기#

사용자 계정에 접근하려면 여러 보호 계층을 극복해야 하며, 따라서 첫 번째 인증 계층이 매우 중요합니다. 앞서 언급한 바와 같이, 비밀번호만으로는 OTP 봇 공격에 매우 취약합니다.

• 소셜 로그인 또는 기업 SSO 활용: Google, Microsoft, Apple과 같은 보안 제3자 식별 제공자(IdP)를 소셜 로그인의 기본 인증으로 사용하거나 Okta, Google Workspace, 및 Microsoft Entra ID와 같은 SSO를 사용하세요. 이러한 비밀번호 없는 방법은 공격자가 쉽게 악용할 수 있는 비밀번호에 대한 안전한 대안을 제공합니다.
• CAPTCHA 및 봇 탐지 도구 구현하기: 자동화된 액세스 시도를 차단하기 위해 봇 탐지 솔루션을 배포하여 시스템을 보호하세요.
• 비밀번호 관리 강화하기: 비밀번호가 여전히 사용 중이라면 더 엄격한 비밀번호 정책을 시행하고, 사용자에게 비밀번호 관리자(예: Google Password Manager 또는 iCloud Passwords)를 사용하도록 권장하며 주기적인 비밀번호 업데이트를 요구하여 보안을 강화하세요.

더 똑똑한 다중 인증 적용하기#

첫 번째 방어선이 침해되면 두 번째 인증 계층이 중요해집니다.

• 하드웨어 기반 인증으로 전환: SMS OTP를 보안 키(예: YubiKey) 또는 패스키로 대체하여 FIDO2 표준을 따릅니다. 이것들은 물리적 소유가 필요하며 피싱, SIM 교체 및 중간자 공격에 강력한 저항력을 제공하여 훨씬 더 강력한 보안 계층을 제공합니다.
• 적응적 MFA를 구현: 적응적 MFA는 사용자의 위치, 장치, 네트워크 행동 그리고 로그인 패턴과 같은 문맥적 요소를 지속적으로 분석합니다. 예를 들어, 인식되지 않은 장치나 비정상적인 지역에서 로그인 시도가 발생하면 시스템은 자동으로 추가 보안 질문에 답하거나 생체 인증을 통해 신원을 확인하도록 요청할 수 있습니다.

사용자 교육#

사람은 여전히 가장 약한 연결고리이므로 교육을 최우선으로 삼아야 합니다.

• 피싱 위험을 최소화하기 위해 명확한 브랜딩과 URL을 사용하세요.
• 사용자와 직원이 피싱 시도 및 악성 앱을 인식하도록 교육하세요. 정기적으로 사용자가 OTP를 음성 통화나 피싱 페이지에 제공해서는 안된다고 상기시켜야 하며, 아무리 설득적일지라도 그렇게 해서는 안 됩니다.
• 비정상적인 계정 활동이 감지되면 신속하게 관리자에게 알리거나 프로그램적으로 작업을 종료하세요. 감사 로그와 웹훅이 이 프로세스를 지원할 수 있습니다.

전용 도구로 인증 재고하기#

자체적으로 식별 관리 시스템을 구현하는 것은 비용이 많이 들고 자원이 많이 필요합니다. 대신, 비즈니스는 전문 인증 서비스와 협력하여 사용자 계정을 더 효율적으로 보호할 수 있습니다.

Logto와 같은 솔루션은 유연성과 강력한 보안을 결합하여 제공합니다. 적응형 기능과 통합하기 쉬운 옵션을 통해 Logto는 OTP 봇과 같은 진화하는 보안 위협에 대처하는 데 도움을 줍니다. 비즈니스가 성장함에 따라 보안을 확장하기 위한 비용 효율적인 선택 역시 제공합니다.

Logto의 모든 기능, Logto Cloud 및 Logto OSS에 대한 정보를 알기 위해 Logto 웹사이트를 방문하세요: