어드민 사이트를 쉽게 만들 수 있게 도와주는 Retool에서 지난 8월 보안사고가 발생해서 27개의 클라우드 고객 계정에 무단 접근이 되는 일이 발생했는데 이 사건이 꽤 흥미롭습니다. Retool은 당시 스피어 피싱 공격을 받았는데 SMS 기반 피싱 공격이었습니다. 이 공격은 사내 직원들에게 사내 내부 포털의 메시지로 위장한 메시지를 보냈는데 대부분은 무시했지만 한 명이 이 피싱 사이트에 접속하게 되고 여기에 MFA를 입력해서 로그인을 한 뒤에 전화를 걸게 됩니다. 공격자는 여기서 딥페이크를 써서 전화상으로 사내 프로세스를 자세히 안내하게 되고 직원은 약간 찜찜한 기분을 느꼈지만 결국 MFA 코드를 넘겨주고 됩니다. 이를 통해 공격자가 직원 계정에 개인 디바이스를 추가할 수 있게 되어 G Suite 세션도 가질 수 있게 됩니다. Google이 최근에 Authenticator 동기화 기능을 추가했기 때문에 Okta에 로그인하자마자 Google의 MFA 토큰도 바로 획득할 수 있게 됩니다. Okta와 Google을 통해 멀티 팩터 인증을 구현했지만 Google의 동기화 기능 업데이트로 인해서 Okta만 획득하면 Google의 MFA도 얻을 수 있게 되어 멀티팩터 인증이 싱글팩터 인증으로 바뀌게 된 것입니다. Retool은 이 공격을 알자마자 모든 세션을 취소하고 사용자에게 알린 뒤 계정 탈취를 복구하게 됩니다. 사건의 내용이 여러가지가 겹쳐서 발생하긴 했지만 이번 공격은 꽤 정교해서 Retool 내부의 사정과 프로세스를 알고 있는 상태에서 공격을 시도했던 것으로 보입니다. https://retool.com/blog/mfa-isnt-mfa/