>
연구(Insikt)

일회용 비밀번호를 훔치는 봇으로 사기 수법 간소화

게시일: 2022년 7월 26일
작성자: Insikt Group

insikt-group-logo-updated-3-300x48.png 편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

이 보고서에서는 일회용 비밀번호(OTP) 우회 봇의 작동 방식, 기존 사기 수법에 대한 설명 및 개인과 금융 기관에 대한 위협에 대해 자세히 설명합니다. 이 보고서에는 사이버 범죄자들이 OTP 우회 봇을 구성하고 사용하는 방법에 대한 튜토리얼도 포함되어 있습니다. 이 보고서의 출처에는 다크웹 포럼, 사기 관련 텔레그램 채널, 기록된 미래 결제 사기 인텔리전스 모듈이 포함되어 있습니다. 이 보고서는 금융 기관의 사기 및 사이버 위협 인텔리전스(CTI) 팀과 보안 연구원을 대상으로 합니다.

Executive Summary

일회용 비밀번호(OTP)는 기본 비밀번호를 넘어 추가적인 보호 계층을 제공하기 위해 자주 사용되는 다단계 인증(MFA)의 한 형태입니다. OTP는 일반적으로 4~8개의 숫자로 구성되지만 가끔 문자를 포함할 수도 있는 동적 비밀번호입니다. 많은 금융 기관과 온라인 서비스에서 이 도구를 사용하여 로그인을 인증하고 거래를 확인하거나 사용자를 식별합니다. 사용자에게 OTP 코드를 제공하는 주요 방법은 SMS, 이메일 또는 Authy와 같은 모바일 인증 애플리케이션을 이용하는 것입니다. OTP는 무단 액세스나 거래로부터 피해자의 계정을 보호하기 때문에 사이버 범죄자들은 이를 우회하고 극복할 수 있는 다양한 방법을 끊임없이 개발하고 있습니다.

지난 한 해 동안 위협 공격자들은 OTP 도용을 자동화하는 봇을 점점 더 많이 개발, 광고, 사용함으로써 위협 공격자들이 더 쉽고 저렴하게 대규모로 OTP 보호 기능을 우회할 수 있게 되었습니다. OTP 우회 봇은 작동하는 데 기술적 전문 지식과 최소한의 언어 능력만 있으면 되기 때문에 OTP 보호 기능을 우회할 수 있는 위협 행위자의 수도 증가합니다. OTP 우회 봇은 일반적으로 음성 통화 또는 SMS 메시지를 공격 대상에게 배포하고, 공격 대상에게 OTP 입력을 요청하며, 성공하면 입력된 OTP를 봇을 운영하는 위협 행위자에게 다시 전송하는 방식으로 작동합니다.

레코디드 퓨처 분석가들은 사기성 텔레그램 채널에 광고된 "SMSBypassBot"이라는 오픈소스 OTP 우회 봇을 찾아 테스트한 결과, 광고대로 작동하고 구성과 사용이 간단하다는 것을 확인했습니다.

주요 연구 결과

  • 다양한 합법적인 서비스(특히 온라인 계정 로그인, 송금, 3-Domain Secure 지원[3DS] 구매 인증)에서 OTP 사용이 증가함에 따라 OTP를 획득하고 우회하는 방법에 대한 사이버 범죄의 수요도 함께 증가하고 있습니다.
  • OTP 우회와 관련된 다크웹 포럼 활동(해당 주제와 관련된 게시물의 게시글 수 및 조회 수로 측정)은 2020년에 급격히 증가했으며 그 이후에도 높은 수준을 유지하고 있습니다.
  • 기존의 OTP 우회 방법(SIM 카드 교체, 무차별 대입, 잘못 구성된 인증 시스템 악용, 수동 소셜 엔지니어링 등)은 시간이 많이 걸리고 기술적으로 더 까다로워졌습니다.
  • OTP 우회 봇은 소셜 엔지니어링 및 보이스 피싱(비싱) 기술을 사용하기 쉬운 인터페이스와 결합하여 부분적으로 자동화되고 저렴하며 확장 가능한 방법으로 피해자의 OTP를 획득할 수 있는 방법을 제공합니다.

배경

다단계 인증(MFA)은 단순한 정적 암호 이상의 추가 보안 계층을 제공하며, Microsoft는 MFA가 계정 손상 공격을 99.9% 이상 차단할 수 있다고 보고합니다. 일회용 비밀번호(OTP)는 자동으로 생성된 문자열(일반적으로 숫자 값이지만 영숫자로 된 경우도 있음)을 사용하여 사용자를 인증하는 MFA의 한 형태입니다.

서비스 제공업체, 금융 기관 및 판매자는 온라인 계정 로그인 인증, 송금, 3DS 지원 결제 카드 거래 등 다양한 용도로 OTP를 사용합니다. 지난 10년간 OTP의 채택이 증가함에 따라 위협 행위자들은 온라인 계정에 무단으로 액세스하고 사기 송금 및 거래를 수행하기 위해 OTP를 우회하는 방법을 개발했습니다.

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

관련