파이도 자체 문제는 아냐…정책 설정이 관건
보안업체 프루프포인트가 마이크로소프트 엔트라 ID(Entra ID)에서 파이도(FIDO) 패스키 인증을 무력화할 수 있는 ‘다운그레이드 기법’을 시연했다. 이 공격은 중간자 피싱 프록시를 통해 사용자가 강력한 파이도 인증 대신 보안성이 낮은 로그인 방식을 쓰도록 유도해 계정 자격 증명과 세션 쿠키를 탈취할 수 있다. 연구진은 이번 결과가 파이도 자체 취약점이 아니라, 일부 구현 과정에서의 ‘대체 인증 허용 정책’이 약점이 될 수 있음을 보여준다고 강조했다.
공격자는 프록시를 통해 사용자의 계정 정보와 MFA 토큰, 세션 쿠키를 모두 가로챈다. 이후 이 쿠키를 자신의 브라우저에 가져와 피해자의 계정에 즉시 접근할 수 있다.
에빌진엑스(Evilginx)는 실제 로그인 페이지를 그대로 표시하면서 인증 과정에서 전달되는 세션 토큰을 가로채는 공격 도구다. 더불어 이 과정에 ‘브라우저 기능 위조’를 결합해, 사용자가 보안성이 낮은 인증 절차를 밟도록 만든다. 결과적으로 피해자는 정상적인 마이크로소프트 로그인 화면을 보고 있기 때문에 피싱 여부를 알아채기 어렵다.
마이크로소프트는 엔트라 ID에서 패스키(FIDO2/WebAuthn) 지원 환경과 브라우저 목록을 제공하며, 조직이 허용하는 인증 방법을 직접 설정할 수 있도록 하고 있다. 하지만 대체 인증 수단이 켜져 있으면, 패스키를 사용할 수 없는 상황에서 자동으로 대체 방법을 제공한다. 이번 공격은 바로 이 정책을 악용한 것이다.
프루프포인트는 이 공격이 실제 악성 사이버공격에서 사용된 사례는 아직 없다고 밝혔다. 하지만 에빌진엑스와 같은 AiTM 도구는 이미 널리 쓰이고 있고, 마이크로소프트 계정을 노린 피싱도 대규모로 발생하고 있다. 따라서 타깃 기업의 계정을 노린 맞춤형 공격에 사용될 가능성은 충분하다.
불과 몇 주 전, ‘포이즌시드(PoisonSeed)’라는 다른 파이도 다운그레이드 공격이 공개된 바 있다. 해당 기법은 QR코드를 이용한 교차 기기 인증 흐름을 노렸지만, 실제로는 물리적 근접 조건 때문에 성공하기 어려웠다. 반면, 이번 프루프포인트의 기법은 거리 제한이 없고, 엔트라 ID의 정책 구조와 직접적으로 맞물려 있어 훨씬 실질적인 위협으로 평가된다.
공격자는 이메일, SMS, OAuth 동의 요청 등을 통해 피싱 링크를 전달한다. 피해자가 이를 클릭하면 에빌진엑스 프록시가 진짜 엔트라 ID 로그인 화면을 띄운다. 하지만 ‘파이도를 지원하지 않는 브라우저’로 위장해 접속했기 때문에, 로그인 화면에는 ‘패스키를 사용할 수 없다’는 오류가 뜨고 대체 인증 옵션이 나타난다. 피해자가 이 중 하나를 선택해 로그인하면, 프록시는 계정 정보와 세션 쿠키를 모두 확보한다. 이 쿠키를 통해 공격자는 비밀번호 재설정이나 추가 인증 절차 없이 계정에 바로 접근할 수 있다.
■파이도 자체 문제는 아냐…정책 설정이 관건
파이도의 강점은 개인키가 절대 외부로 유출되지 않고, 서명이 원본 도메인과 바인딩되어 AiTM 프록시가 위조할 수 없다는 점이다. 하지만 이번 공격은 패스키가 ‘사용 불가’ 상태일 때 서비스 측이 허용하는 대체 인증 방식을 노린다. 조직이 ‘피싱 저항성 인증만 허용’으로 정책을 고정했다면 공격은 실패하게 된다. 결국 이는 프로토콜 자체의 결함이 아닌 구현과 정책 관리의 문제다.
마이크로소프트가 제공하는 ‘피싱 방지 MFA 강도’ 정책을 활용해, 윈도우 헬로, 파이도2 보안키, 인증서 기반 인증만 허용하도록 설정하는 것이 필요하다. 또한 SMS·이메일 OTP나 단순 푸시 알림은 비활성화하거나 최소한으로만 사용해야 한다.
인증 앱을 유지해야 하는 경우에는 번호 일치나 추가 컨텍스트 표시를 적용해 피싱 가능성을 줄일 수 있다. 로그인 과정에서 평소 사용하던 패스키 인증이 아닌 다른 방법을 요구한다면 즉시 중단하고, 공식 채널을 통해 확인해야 한다.
관리자는 비관리 기기나 비지원 브라우저의 접근을 제한하고, OAuth 권한 부여 요청도 엄격히 모니터링해야 한다. 이를 통해 세션 탈취 후 발생할 수 있는 피해를 최소화할 수 있다.
[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[IT 칼럼] 소프트웨어 구독 경제는 곧 배급 경제](https://img.khan.co.kr/weekly/r/600xX/2025/08/15/news-p.v1.20250813.54949c19867d497390b5db145e003ae1_P1.webp)
