FIDO 무력화 주장, 사실 아니었다…“표준 구현 시 안전성 재확인”

[아이티데일리] 지난달 미국의 관리형 탐지 및 대응(MDR) 전문 보안업체 익스펠(Expel)이 발표한 “포이즌시드(PoisonSeed) 공격 그룹이 FIDO 인증을 우회했다”는 연구 내용이 사실이 아닌 것으로 확인됐다. 익스펠은 최근 공식 블로그를 통해, 당시 보고서에서 설명한 FIDO ‘패스키(Passkey)’ 우회 공격이 실제로는 성공하지 못했다며 내용을 정정하고 사과했다.

지난 7월 17일 익스펠은 공격자가 FIDO의 ‘기기 간 인증(Cross-Device Authentication)’ 기능을 이용해 보호 장치를 뚫을 수 있다는 연구 결과를 공개했다. 보고서에서는 공격자가 사회공학 기법으로 사용자를 피싱 사이트로 유도하고, 로그인 과정에서 표시되는 QR 코드를 피해자에게 제시해 정상 절차로 속인 뒤, 이를 통해 계정 접근 권한을 획득했다고 주장했다.

그러나 FIDO 표준의 기기 간 인증은 QR 코드를 생성한 기기와 인증 기기가 블루투스(Bluetooth)로 근접성을 확인해야만 동작하도록 설계돼 있다. 표준에 따라 이 기능이 구현된 환경에서는, 근접성 검증이 되지 않으면 인증 요청이 시간 초과로 실패한다. 결국 익스펠이 사례로 든 공격 시나리오는 표준 구현 환경에서는 성립되지 않는 것이다.

익스펠은 정정 공지에서 “당시 우리는 공격자가 인증 절차를 완료했다고 판단했으나, 실제로는 비밀번호 단계까지만 통과했고 이어지는 FIDO 기반 MFA 도전은 모두 실패했다”며 “공격자는 요청된 리소스에 대한 접근 권한을 전혀 얻지 못했다”고 밝혔다.

보안 업계 전문가들도 이번 사례를 두고 “FIDO 표준의 취약점이 드러난 것이 아니라, 레거시 형태의 MFA를 비표준 방식으로 구현했거나 근접성 검증이 미비한 환경을 노린 다운그레이드 공격”이라고 분석했다. 게다가 이번 공격은 해당 전제 조건이 충족돼도 실제로는 성공하지 못한 것으로 확인됐다.

FIDO 인증의 핵심 기술인 패스키는 공개키 암호화를 기반으로 각 서비스별 고유 자격 증명을 생성해 저장하며 피싱, 자격 증명 스터핑, 중간자 공격 등과 같은 원격 기반 공격에 본질적으로 강한 저항성을 갖도록 설계됐다.

이번 사건과 관련해 FIDO 얼라이언스 이준혁 전무이사는 “FIDO 표준은 설계 단계부터 피싱 공격 저항성을 핵심 목표로 삼아왔다. 표준대로 구현된 FIDO 기기 간 인증은 블루투스(Bluetooth) 기반 근접성 검증을 통해 원격 공격을 차단한다. 이번 사례는 표준의 보안성을 부정하는 것이 아니라, 오히려 표준 구현의 중요성을 보여주는 사례다”라고 말했다.