디지털 안전과 관련하여 계정에 추가 보안 계층을 설정하는 것이 좋습니다. MFA(다단계 인증)로 알려진 이 접근 방식의 기본 개념은 악의적인 행위자가 귀하의 비밀번호를 알아낸 경우에도 계정에 로그인하려면 두 번째 수준의 확인을 거쳐야 한다는 것입니다. 이 보조 인증 계층은 일회용 비밀번호, 보안 이메일, 로컬 비밀번호 키, 생체 인식 스캔 또는 물리적 보안 키가 포함된 SMS일 수 있습니다. Microsoft 조사에 따르면 MFA는 일반적으로 계정 손상 가능성을 99.22%, 로그인 자격 증명을 획득한 경우 98.56%까지 줄일 수 있는 것으로 나타났습니다.
그러나 MFA는 완벽한 솔루션이 아닌 것으로 보이며 해커가 MFA를 극복한 사례가 여러 번 있었습니다. 예를 들어, 2025년 12월 Infoblox의 보안 전문가는 악의적인 행위자가 교육 기관을 표적으로 삼고 있다는 통보를 받았습니다. 특히 해커들은 Evilginx라는 오픈 소스 벡터를 사용하여 한 기관의 학생 통합 로그인 포털을 공격하고 있었습니다.
Evilginx는 공격자가 사용자 장치와 액세스하려는 서비스 간의 통신을 가로챌 수 있는 중간자(MITM) 경로를 사용하는 피싱 도구입니다. 이는 해커가 로그인 정보부터 금융 정보까지 모든 것을 훔칠 수 있는 도청 수법으로, 이 해커들은 2025년에만 18개 기관을 대상으로 이 방법을 사용한 것으로 보입니다. 2017년 발생한 악명 높은 Equifax 해킹은 1억 5천만 명 이상의 고객 데이터를 노출한 MITM 공격이었으며 Tesla와 같은 거대 기술 기업도 동일한 전술을 사용하여 표적이 되었습니다.
걱정해야합니까?
2024년 Abnormal.ai의 전문가들은 위협 행위자들이 Evilginx를 사용하여 Outlook 및 Gmail과 같이 널리 사용되는 서비스를 표적으로 삼는 방법을 강조했습니다. Evilginx의 가장 위험한 요소 중 하나는 오픈 소스이므로 널리 사용 가능하고 해커가 수정할 수 있다는 것입니다. 표적 흐름 중 하나는 해커가 세션 쿠키를 캡처할 수 있도록 허용하는 뱅킹 사이트 스푸핑과 관련됩니다. 일단 획득하면 로그인 자격 증명을 사용하여 은행의 실제 웹사이트에서 피해자를 사칭할 수 있습니다.
그러나 다단계 인증에 대한 위협은 Evilginx만이 아닙니다. 그것을 깨는 덜 정교한 방법이 있습니다. 악의적인 행위자가 합법적인 서비스를 스푸핑하여 사용자를 속여 민감한 로그인 데이터를 공유하도록 하는 소셜 엔지니어링(피싱이라고도 함)이 요즘 매우 흔합니다. SIM 교환은 MFA를 깨는 강력한 방법일 수도 있습니다. 특히 다단계 코드가 SMS나 전화 통화를 통해 도착하는 경우 더욱 그렇습니다. 또한 해커가 스키머 장치를 설치하여 결제를 처리하거나 신원을 확인하기 위해 생체 인식 잠금 해제가 필요한 시스템에서 지문을 훔칠 수 있는 위험도 있습니다.
그렇다면 MFA를 우회할 수 있는 시대에 어떻게 안전하게 지낼 수 있을까요? Experian의 전문가들은 비밀번호 관리자 앱이나 FIDO 인증 물리적 키(예: Google Titan 또는 Yubico에서 제공하는 키)를 사용할 것을 권장합니다. 미국 정부의 사이버 보안 및 인프라 보안 기관에 따르면 “널리 사용되는 유일한 피싱 방지 인증은 FIDO/WebAuthn입니다.” 따라서 FIDO 기반 물리적 보안 키가 불가능한 경우 암호 키와 같은 WebAuthn 솔루션을 사용해야 합니다. 다행히 Google, Microsoft, Apple과 같은 회사에서는 모두 패스키를 구현하여 쉽게 채택할 수 있습니다.
