골든 아워(The Golden Hour): 세션 쿠키 하이재킹(Session Cookie Hijacking)이 새로운 MFA 우회 수단이 된

골든 아워(The Golden Hour): 세션 쿠키 하이재킹(Session Cookie Hijacking)이 새로운 MFA 우회 수단이 된 이유

사이버 보안 (Cybersecurity) 업계 전문가들은 지난 10년 동안 다요소 인증 (Multi-Factor Authentication, MFA)을 통해 사용자를 보호하는 것이 로그인 자격 증명이 탈취되지 않도록 유지하는 가장 좋은 방법이라는 단일 초점에 강조점을 두어 왔습니다. 그 이론은 공격자가 사용자의 사용자 이름(username)과 비밀번호(password)를 얻기 위해 어떤 행동을 하더라도, 푸시 알림(push notification), 문자 메시지(text message) 또는 생체 인식(biometric)과 같은 2단계 인증을 검증해야 하는 필요성 때문에 공격을 차단할 수 있을 것이라는 것이었습니다.

정보 탈취형 악성코드 (Infostealer Malware)에 대한 이전 검토와 우리가 수집한 위협 인텔리전스 (threat intelligence)에 기반하면, 공격자들이 대규모로 MFA를 쉽게 우회하고 있다는 사실이 입증되었습니다. 그들은 모든 웹 애플리케이션의 보이지 않고 조용한 닻인 세션 쿠키 (session cookies)를 이용함으로써 이를 달성하고 있으며, 이는 상당한 취약점 (vulnerability)을 나타냅니다. 이러한 취약점은 공격자들에게 "골든 아워 (The Golden Hour)"라고 알려진 새로운 카테고리를 생성했으며, 이는 향후 디지털 악성코드 공격의 주요 지점이 될 것입니다.

이것이 바로 세션 쿠키 하이재킹 (session cookie hijacking)이 현재 귀하의 비즈니스 및 엔터프라이즈 보안에 가장 큰 위험이 되고 있는 이유입니다.

1. 보이지 않는 인증 앵커 (The Invisible Authentication Anchor): 세션 쿠키 (Session Cookie)와 관련된 위협을 이해하기 위해서는 먼저 세션 쿠키에 대해 알아야 합니다. Gmail, Slack 또는 은행과 같은 사이트에 로그인할 때, 서비스는 MFA (다요소 인증)를 통해 귀하를 인증합니다. 인증에 성공하면 서비스는 고유하고 암호화된 토큰 (세션 쿠키)을 생성하여 웹 브라우저에 장기 데이터 (long-lived data)로 저장합니다. 세션 쿠키는 애플리케이션에 대한 임시 자격 증명 (credential) 역할을 하며, 본질적으로 애플리케이션에 향후 한 시간 또는 며칠 동안 "이 사용자는 이미 인증되었습니다—사용자에게 자격 증명이나 MFA를 다시 요구하지 마세요"라고 알려주는 역할을 합니다. 세션 쿠키는 최적의 사용자 경험을 제공하기 위한 필수적인 메커니즘입니다. 만약 세션 쿠키가 없다면, 새로운 이메일을 확인하거나 페이지를 새로고침할 때마다 MFA 코드를 다시 입력해야 할 것입니다. 취약점은 바로 이 쿠키가 인증 권한 (credentialing authority)을 가진다는 점에 있습니다. 공격자가 유효한 세션 쿠키를 점유하게 되면, 애플리케이션은 해당 공격자를 실제 사용자로 간주하게 됩니다.

2. 'Pass-the-Cookie': 마스터 키 탈취하기: 마지막으로, 앞서 논의한 정보 탈취형 악성코드 (infostealer malware)가 결정적인 역할을 하는 지점이 바로 여기입니다. 앞서 생성된 이미지는 정보 탈취형 악성코드가 사용자의 기기를 감염시키고 나면, 악성코드의 목표가 반드시 (쉽게 재설정할 수 있는) 비밀번호를 훔치는 것이 아니라, 브라우저 메모리에서 활성화된 세션 쿠키를 획득하는 것임을 보여줍니다.

공격자의 정보 탈취 도구(Infostealer)가 활성화된 세션 쿠키를 유출하면, 공격자는 종종 이 세션 쿠키(Golden Cookies라고 불림)를 다양한 지하 시장(Underground markets)에서 판매합니다. 그 후 공격자는 자신의 브라우저로 해당 쿠키를 전달(Pass the Cookie)하며, 공격자가 탈취한 쿠키를 자신의 브라우저에 로드하면 끊김 없는(Seamless) 액세스 이벤트가 생성됩니다.

공격자는 이제 대상 기기에서 활성화된 사용자로 세션에 접속하는 것이기 때문에, 어떠한 사용자 이름(Username) 정보도 입력할 필요가 없으며 비밀번호(Password) 정보 또한 입력할 필요가 없습니다. 더욱이, 공격자는 사용자 이름과 비밀번호 요구 사항은 물론 다요소 인증(Multifactor Authentication, MFA) 요구 사항까지 모두 통과하여 유효한 상태인 활성 세션 쿠키를 사용하고 있으므로, 대상 시스템에 대한 원활한 액세스 권한을 부여받게 됩니다.

1. 카운트다운: 왜 시간이 방어의 결정적 요소인가
   이는 우리를 "골든 아워(Golden Hour)"로 이끕니다. 세션 쿠키가 영원히 지속되지 않는다는 점을 기억하십시오. 세션 쿠키는 보안 정책에 따라 지정된 서로 다른 만료 날짜를 가집니다. 만료 기간은 민감한 금융 애플리케이션의 경우 한 시간 정도로 짧을 수 있고, 소셜 미디어 애플리케이션의 경우 몇 주 동안 지속될 수도 있습니다. 이미지에서 "58:32 남음"이라고 표시된 카운트다운은 단순히 상징적인 이미지가 아니라, 이 상황의 전술적 현실이기도 합니다. 공격자들은 쿠키의 만료 날짜가 지나기 전이나, 정당한 사용자가 해당 세션에서 로그아웃하여 세션 쿠키가 무효화되기 전에 탈취한 세션 쿠키를 적시에 사용해야 한다는 점을 알고 있습니다. 탈취한 세션 쿠키를 획득한 후 공격자가 사용할 수 있는 시간이 이처럼 제한되어 있기 때문에, 정보 탈취 공급망(예: Telegram)은 "신선한(Fresh)" 로그 파일을 빠르게 판매하거나 활용하려고 움직입니다. 로그 파일의 가치는 매 분이 경과함에 따라 사라지기 때문입니다. 기업이 탈취된 세션 쿠키를 탐지하기 위해서는 실시간 인텔리전스(Real-time intelligence)가 필요합니다.

만약 공격자가 세션 쿠키(Session Cookie)를 탈취한 후 예상치 못한 IP 주소에서 기업의 싱글 사인온 (SSO, Single Sign-On) 애플리케이션에 접속을 시도한다면, 기업의 기존 보안 도구들이 "골든 아워(Golden Hour)"가 지나기 전까지 이 사고를 탐지하지 못할 가능성이 매우 높습니다. 이 시점이 되면 데이터 유출 (Data exfiltration), 권한 상승 (Privilege escalation) 또는 측면 이동 (Lateral movement)과 같은 피해가 이미 발생했을 확률이 큽니다. 반응형 방어 (Reactive Defense)는 실패합니다. 선제적 대응 (Proactive)만이 유일한 길입니다. 세션 쿠키 하이재킹에 대한 전통적인 반응형 방어 모델(침입이 발생한 후 침입에 대한 알림을 받을 때까지 기다리는 방식)은 이제 무너졌습니다. 세션 쿠키를 이용한 공격은 인증 후의 유효한 토큰 (Post-authentication token)을 사용하여 세션 쿠키를 악용하기 때문에, 이를 인지할 수 있는 기존의 탐지 계층(EDR 등)보다 앞서 발생합니다. 이를 방어하기 위해 조직은 새로운 선제적 노출 인텔리전스 (Proactive exposure intelligence)를 구축해야 합니다. 이는 공격자가 "골든 아워 (The Golden Hour)"