일회용 패스코드(OTP)는 기존의 2단계 인증(2FA) 및 다중 요소 인증(MFA)의 핵심적인 부분입니다.
귀하가 계정에 로그인하거나 거래를 확인하면, 귀하의 신원을 확인하기 위해 이메일, SMS 또는 인증 앱을 통해 이를 수신하게 됩니다.
이제 사이버 범죄자들은 OTP 봇을 사용하여 이러한 보안 장치를 우회하는 방법을 찾아냈습니다.
OTP 봇이란 무엇인가요?
OTP 봇은 귀하의 신원을 확인하는 데 사용되는 일회용 패스코드를 가로채거나 훔치는 자동화된 소프트웨어 프로그램입니다. 그 목표는 계정 탈취 공격(또는 ATO)으로 알려진 방식을 통해 귀하의 계정에 대한 제어 권한을 획득하는 것입니다.
사이버 범죄자들은 암시장(흔히 Telegram을 통해)에서 공격당 최소 10달러 정도의 비용으로 OTP 봇 공격을 구매할 수 있습니다. 이 비용이 적게 들고 확장 가능한 접근 방식을 통해 공격자는 최소한의 노력으로 한 번에 많은 사람들을 표적으로 삼을 수 있습니다.
OTP 봇 작동 방식
OTP 봇은 귀하가 일회용 비밀번호를 수신하고 이를 앱이나 웹사이트에 입력하는 사이의 시간적 간격을 악용하도록 설계되었습니다. 이 시간은 대개 1분 미만입니다.
사이버 범죄자들은 보통 세 가지 방법으로 코드를 가로챕니다.
사회공학 기법을 통한 OTP 봇 계정 탈취
공격자는 도용되거나 유출된 자격 증명을 사용하여 합법적인 사이트에서 OTP 단계를 유도합니다. 그런 다음 봇이 SMS나 전화를 통해 귀하에게 연락하여, 예를 들어 은행의 이상금융거래탐지(FDS) 팀을 사칭하는 등 시급성을 조성하도록 설계된 스크립트를 사용합니다. 귀하가 OTP를 공유하면, 봇은 이를 실시간으로 공격자에게 전달하여 계정에 접근할 수 있게 합니다. 그러면 공격자는 로그인 자격 증명을 변경하고 귀하의 접속을 차단할 수 있습니다.
가로채기를 통한 OTP 봇 계정 탈취
도용된 자격 증명을 사용하여 OTP를 유도한 후, 봇은 코드가 귀하에게 도달하기 전에 이를 가로채려고 시도합니다. 일반적인 방법은 다음과 같습니다:
- 심 스왑 공격: 공격자가 이동통신사를 설득하여 귀하의 전화번호를 자신들이 제어하는 SIM 카드로 이전하게 함으로써, SMS 코드가 자신들에게 직접 전송되도록 합니다.
- API 악용: 봇이 보안이 취약한 인증 API를 표적으로 삼아 OTP가 생성되는 즉시 가로챕니다.
- 무차별 대입 공격: 귀하가 사용하는 웹사이트나 앱이 반복적인 요청 횟수를 제한하지 않은 경우 가능하며, 공격자가 짧은 숫자로 구성된 OTP의 가능한 모든 조합을 시도합니다.
릴레이 공격을 통한 OTP 봇 계정 탈취
이 변종 공격은 도용된 자격 증명에 의존하지 않습니다. 대신 귀하를 속여 로그인 정보와 OTP를 모두 공격자에게 제공하도록 유도합니다. 귀하가 실제 웹사이트처럼 보이는 가짜 웹사이트에 도달하여 자격 증명을 입력하면, 봇은 즉시 해당 자격 증명을 사용하여 실제 웹사이트에 로그인하고, 이로 인해 귀하의 전화로 OTP가 발송됩니다. 가짜 웹사이트는 귀하에게 코드를 입력하라고 요청하고, 봇은 이를 실제 웹사이트에 실시간으로 전달합니다. 이를 통해 공격자는 코드가 만료되기 전에 로그인을 완료할 수 있습니다.
다른 변종 공격과 마찬가지로, 공격자는 자격 증명을 변경하여 귀하의 계정 접속을 차단할 수 있습니다.
OTP 봇이 귀하의 비즈니스에 미칠 수 있는 영향
OTP 봇 서비스를 쉽게 구할 수 있게 됨에 따라 비즈니스를 대상으로 한 공격이 증가할 가능성이 높습니다. 금융 및 이커머스가 일반적인 표적이지만, 어떤 업계든 영향을 받을 수 있습니다. 중소기업(SMB)이 더 자주 표적이 되는 경우가 많습니다(새 창).
금전적 손실도 상당할 수 있지만, 귀하가 고려해야 할 유일한 위험은 아닙니다.
금전적 손실이 조직에 큰 타격을 줄 수 있는 만큼, 비즈니스 소유자가 우려해야 할 유일한 손실은 아닙니다.
고객 신뢰 상실
고객 신뢰는 데이터 유출(새 창) 이후 급감하는 경우가 많습니다. Vercara의(새 창) 2024년 연구에 따르면, 소비자의 58%가 유출 사고의 영향을 받은 브랜드를 신뢰할 수 없다고 답했으며, 70%는 보안 사고가 발생한 브랜드의 이용을 중단할 것이라고 답했습니다.
규제 준수 위험
자금이 도난당하지 않더라도, 데이터 보호 요구 사항을 충족하지 못해 귀하의 비즈니스에 벌금이 부과될 수 있습니다. 예를 들어, 일반 데이터 보호 규정(GDPR)은 위치나 기업 규모에 관계없이 EU 거주자의 개인 데이터를 처리하는 모든 조직에 적용됩니다. 규정 미준수에 따른 처벌은 상당할 수 있습니다.
OTP 봇으로부터 귀하의 비즈니스를 보호하는 방법
인적 오류는 예방하기 가장 까다롭다는 점을 감안할 때, 기업은 가능한 한 많은 기술적 보호 조치를 시행해야 합니다. 이러한 조치에는 다음이 포함될 수 있습니다.
요청 비율 제한 및 조절
설정된 시간 내에 단일 IP 주소, 전화번호 또는 계정에서 요청할 수 있는 일회용 패스코드(OTP) 요청 횟수를 제한합니다. 이를 통해 공격자가 자동화된 요청으로 귀하의 시스템을 마비시키는 것을 방지할 수 있습니다.
CAPTCHA 및 행동 분석
의심스러운 활동이 감지되면 CAPTCHA 입력을 요구하고, 빠른 양식 제출이나 비현실적인 마우스 움직임과 같은 비인간적인 패턴을 감지하기 위해 행동 분석을 적용합니다.
기기 지문 인식
기기 특성을 추적하여 반복적인 공격자를 식별하고, 서로 다른 여러 계정에서 다수의 OTP 요청을 시도하는 기기를 플래그 처리합니다.
OTP를 넘어선 다중 요소 인증
OTP에만 의존하는 경향을 줄이기 위해 하드웨어 보안 키, 생체 인증 또는 푸시 알림과 같이 더 강력한 인증 방법을 추가해 보세요.
API 보안 강화
가로채기나 변조를 방지하기 위해 인증을 요구하고, 요청에 서명하며, 입력을 검증하고, 안전한 통신 채널을 사용하여 귀하의 OTP API를 보호하세요.
모니터링 및 탐지
사용 패턴을 모니터링하여 봇 활동을 나타낼 수 있는 비정상적인 동작을 감지해 보세요. 실시간 알림을 사용하여 OTP 요청의 급증이나 예기치 않은 지리적 접근을 포착할 수 있습니다. 위협을 조기에 감지할 수 있도록 로그를 정기적으로 검토해 보세요.
OTP 봇으로부터 귀하를 보호하는 방법
OTP 봇은 위험할 수 있지만, 간단한 조치를 통해 귀하의 계정을 보호할 수 있습니다.
강력하고 고유한 비밀번호 또는 패스키 사용
각 계정의 고유한 자격 증명을 생성하고 저장하려면 비즈니스 비밀번호 관리자를 사용해 보세요. 가능한 경우, 일회용 비밀번호(OTP)를 사용할 필요가 없는 패스키를 사용하는 것이 좋습니다.
하드웨어 보안 키 사용
YubiKey와 같은 물리적 보안 키는 귀하의 기기에 대한 물리적 접근이 필요하기 때문에 자동화된 공격으로부터 강력한 보호를 제공합니다.
피싱 시도 주의
인증 코드를 요구하는 요청하지 않은 메시지에 주의하세요. OTP는 다른 사람과 공유하는 것이 아니라 웹사이트나 앱에 입력해야 합니다.
계정 활동 모니터링
비정상적인 활동이 있는지 로그인 기록과 계정 설정을 정기적으로 확인해 보세요.
SMS 대신 인증 앱 사용
인증 앱에서 생성되는 코드인 시간 기반 일회용 비밀번호(TOTP)는 SIM 스와핑 공격을 통해 가로채기 당할 수 있는 SMS 기반 OTP보다 훨씬 안전합니다.
올바른 비밀번호 관리 습관은 귀하의 첫 번째 방어선입니다
강력한 기술적 보호 조치와 올바른 자격 증명 관리 습관을 결합하면 공격자의 침입을 방지하는 데 큰 도움이 됩니다.
비즈니스 비밀번호 관리자는 귀하가 사용할 수 있는 가장 간단하고 효과적인 도구 중 하나입니다. 이는 직원들이 계정 전반에서 취약한 비밀번호를 재사용하지 않도록 방지하며, 이는 바로 OTP 봇이 악용하도록 설계된 취약점입니다.
여기에 피싱 방지 인증 방법과 보안 인식 문화를 결합하면, 귀하의 비즈니스를 공격하기 훨씬 더 까다로운 대상으로 만들 수 있습니다.
