Security

FIDO 보안 키 우회하는 피싱 기술, 사람 심리 노려

JustAnotherEditor

21 Jul 2025 — 5 min read

💡

Editor's Pick
- FIDO 기반 물리 키 사용하면 안심?
- 여러 장비 통해 인증하는 기능, 악용하면 공격자들에게 유리
- 배후에는 암호화폐 전문 절도단

차세대 인증 기술로서 각광 받고 있는 FIDO 보안 키 기능을 우회할 수 있는 피싱 기법이 새로 발견됐다. 로그인 시 여러 장비를 통해 교차 검증하는 시스템을 악용하는 것으로, FIDO의 보안 기능 자체를 망가트리는 것은 아니다. 즉 ‘직접 해킹’보다는 각종 ‘사회공학적 기법’을 통해 여러 안전 장치를 우회하거나 피해자를 속이는 것에 가깝다. 기술이 단단해지면 질수록 사람을 공략하는 것에 공격자들이 더 능숙해진다는 걸 알 수 있다.

보안 업체 엑스펠(Expel)이 보고서 형식으로 발표한 바에 따르면 공격 시나리오는 다음과 같다.

1) 가짜 로그인 페이지를 만든다.

2) 피해자를 가짜 페이지로 유도해 로그인을 시도하게 한다.

3) 중간에서 로그인 정보를 가로챈다.

4) 가로챈 정보를 가지고 실제 사이트에서 진짜 사용자인 것처럼 로그인 한다.

5) 그러면 로그인용(혹은 2차 인증용) 큐알코드가 생성된다.

6) 문제의 큐알코드는 피해자의 화면에 나타난다.(공격자가 딴 곳에서 피해자의 정보로 정상 로그인을 했으므로)

7) 사용자는 자신이 로그인을 제대로 한 것으로 착각해 화면에 표시된 큐알코드를 스캔한다.

8) 스캔된 큐알코드는 인증 앱이나 기술을 통해 처리되고, 공격자의 로그인이 최종 승인된다.

9) 사용자는 자신의 2차 인증이 공격자를 위한 것이었다고 생각하지 못한다.

요즘은 구글 같은 인기 서비스에 낯선 장비로 로그인을 하면, 원래 사용하던 장비들로 ‘지금 로그인 시도를 하는 게 당신 맞는가?’라는 질문이 날아오면서 사용자의 대답이 있고나서야 다음 절차로 넘어간다. 그렇기에 수많은 사용자들이 이런 식의 다단계 보안 점검에 익숙해져 있다. 익숙하다 보니 2차 인증에 대해 깊이 생각하지 않고 곧바로 ‘승인’ 버튼을 클릭하곤 하는데, 이번 피싱 기법이 그러한 심리를 찌른 거라고 볼 수 있다. 사용자들은 ‘2차 인증이겠거니’ 생각하면서 큐알코드를 스캔한다는 것이다.

“이번에 악용된 인증 시스템은 원래 FIDO 기반 보안 키를 직접 사용해야 작동하도록 설계됐습니다. 매우 탄탄한 보안을 자랑하는 기술인 것이죠. 하지만 공격자들은 그 탄탄함을 직접 공략하지 않고도 자신들의 공격을 성공시킬 수 있었습니다. 아무리 막강한 보안 기술이 있더라도 사람의 심리를 정교하게 노리고 들어가면 얼마든지 무력화시킬 수 있다는 게 다시 한 번 증명됐습니다.” 엑스펠의 설명이다.

엑스펠은 이번 캠페인의 배후에 포이즌시드(PoisonSeed)라는 해킹 그룹이 있을 거라고 보고 있다. 포이즌시드는 암호화폐 탈취에 전문성을 가지고 있는 그룹이며, 과거에도 여러 차례 피싱 공격을 저지른 바 있다. “하지만 이번 사건에서는 아직 암호화폐 피해가 발생하지는 않은 것으로 보입니다. FIDO 보안 키 기능을 우회함으로써 계정 탈취에 성공했으나, 그 뒤에 더 공격을 이어가지는 않은 것입니다. 이후에 공격이 더 이어질 수 있습니다.”

그래서 엑스펠은 “FIDO 보안 키나 인증 시스템을 사용하는 기업이나 기관이라면, 인증 관련 로그를 면밀히 검토해야 한다”고 강조한다. “의외의 지역에서 로그인을 하거나 FIDO 키 여러 개가 빠른 시간 안에 등록된 사례가 있는지 살펴야 합니다. 그 후 로그인 가능 지역을 제한해 사용하고, 디바이스 간 인증 시 블루투스 연결을 성립시켜야 한다는 조건을 추가하십시오.”