취약한 인증이란?
취약한 인증은 애플리케이션이 사용자를 확인하고 그 상태를 유지하는 방식의 약점을 악용하여 공격자가 사용자 신원을 탈취할 수 있게 하는 취약점 범주입니다. 로그인 메커니즘, 세션 관리, 자격 증명 복구 프로세스에 결함이 있을 경우, 공격자는 정상 사용자를 가장하거나 권한을 상승시키고, 무단으로 시스템에 접근할 수 있습니다.
이 취약점은 OWASP 프로젝트 초기부터 모든 OWASP 목록에 등장해왔습니다. OWASP는 시간이 지나면서 이 범주의 명칭과 정의를 변경하고 다듬었으며, 이는 중요성이 줄어든 것이 아니라 인증 관련 약점의 범위가 넓어졌음을 반영합니다.
취약한 인증의 범위는 단순한 비밀번호 추측을 훨씬 넘어섭니다. 이는 크리덴셜 스터핑, 세션 고정, MFA 우회, 토큰 위조, 하드코딩된 자격 증명, 중요 기능에 대한 인증 누락 등을 포함합니다. 전체 범주의 근본 CWE는 CWE-287이며, 최신 OWASP 분류에서는 다양한 관련 CWE가 이 범주에 매핑되어 있습니다.
DBIR 보고서에 따르면, 자격 증명 오남용은 침해 사고에서 주요 초기 접근 방법으로 남아 있습니다. 취약한 인증이 어떻게 작동하는지 이해하면 이를 더 효과적으로 차단할 수 있습니다.
.jpg)
취약한 인증은 어떻게 작동하는가?
취약한 인증은 취약점을 두 가지 주요 실패 영역에서 악용합니다. 첫째는 애플리케이션이 사용자를 확인하는 인증, 둘째는 인증된 신원을 방문 기간 동안 유지하는 세션 관리입니다. 각 영역은 서로 다른 공격 표면을 제공하지만, 모두 무단 접근이라는 동일한 결과로 이어집니다.
인증 실패
애플리케이션이 사용자 신원을 제대로 확인하지 못하면, 공격자는 정문을 통해 진입할 수 있습니다. 크리덴셜 스터핑 공격은 탈취된 사용자명과 비밀번호 쌍을 로그인 엔드포인트에 제출합니다. 애플리케이션에 속도 제한이나 계정 잠금 기능이 없다면, 공격자는 대규모로 자격 증명을 테스트하여 유효한 쌍을 찾을 수 있습니다.
공격 흐름은 단순합니다. 공격자는 이전 침해 사고에서 유출된 자격 증명 덤프를 입수합니다. 이 쌍을 자동화 도구에 입력해 로그인 페이지를 대상으로 시도합니다. 애플리케이션은 각 시도를 제한, 잠금, CAPTCHA 없이 허용합니다. 유효한 쌍이 일치하면, 공격자는 계정에 완전히 접근할 수 있습니다.
무차별 대입 공격도 유사한 패턴을 따르지만, 알려진 자격 증명을 재사용하는 대신 비밀번호 조합을 생성합니다. 패스워드 스프레이는 반대 접근법으로, 여러 계정에 대해 동일한 일반 비밀번호를 동시에 시도하여 계정별 잠금 임계값을 피합니다.
세션 관리 실패
정상적으로 인증을 마친 후에도, 세션 처리의 결함으로 인해 인증된 상태가 공격자에게 넘어갈 수 있습니다. 세션 고정 공격(CWE-384)에서는 공격자가 로그인 전에 미리 알려진 세션 ID를 설정합니다. 애플리케이션이 인증 후 세션 ID를 재생성하지 않으면, 공격자는 미리 설정한 ID로 인증된 세션에 접근할 수 있습니다.
세션 토큰 노출도 또 다른 경로를 만듭니다. 세션 ID가 URL에 포함되면, 서버 접근 로그, 브라우저 기록, HTTP 리퍼러 헤더에 기록됩니다. URL을 입수한 공격자는 세션을 획득합니다. 세션 만료 미흡(CWE-613)은 문제를 악화시킵니다. 브라우저 탭을 로그아웃 없이 닫으면, 이후 동일 브라우저를 사용하는 사람이 여전히 활성화된 세션을 찾을 수 있습니다.
MFA 우회
다중 인증(MFA)은 두 번째 확인 단계를 추가하지만, 공격자들은 신뢰할 수 있는 우회 기법을 개발했습니다. MFA 피로도 공격(프롬프트 폭탄)은 사용자의 기기에 푸시 알림을 반복적으로 보내 사용자가 방해를 멈추기 위해 하나를 승인하도록 유도합니다. Uber 침해 사고는 탈취된 자격 증명, 반복된 MFA 프롬프트, 사회공학이 결합되어 내부 시스템 접근에 사용된 대표적 사례로 자주 언급됩니다.
이러한 메커니즘은 취약한 인증이 단일 결함이 아니라는 점에서 효과적입니다. 약한 자격 증명, 속도 제한 부재, 부실한 세션 처리 등 일련의 약점이 연쇄적으로 악용됩니다.
취약한 인증의 유형
취약한 인증은 단일 취약점이 아니라 인증 스택의 서로 다른 계층을 겨냥하는 여섯 가지 실패 유형을 포괄하는 범주입니다. 각 유형은 차단을 위해 서로 다른 통제가 필요합니다.
| 유형 | 실패 지점 | 일반 공격 방법 | 핵심 CWE |
| 자격 증명 기반 공격 | 비밀번호 정책, 속도 제한 | 크리덴셜 스터핑, 무차별 대입, 패스워드 스프레이 | CWE-307, CWE-521 |
| 세션 관리 결함 | 세션 ID 수명주기 및 저장 | 세션 고정, 세션 하이재킹, 쿠키 탈취 | CWE-384, CWE-613 |
| MFA 우회 | 2차 인증 구현 | MFA 피로도, TOTP 릴레이, SIM 스와핑 | CWE-308 |
| 토큰 위조 | 암호화 키 보호 | SAML 어설션 위조, JWT 조작, OAuth 토큰 탈취 | CWE-347, CWE-345 |
| 하드코딩된 자격 증명 | 코드 내 자격 증명 관리 | 소스 또는 설정 파일에서 정적 자격 증명 추출 | CWE-798 |
| 인증 누락 | 중요 기능에 대한 인증 강제 | 직접 객체 접근, API 엔드포인트 우회, 대체 경로 접근 | CWE-306, CWE-288 |
어떤 유형이 특정 애플리케이션에 존재하는지 이해하면 적용할 통제와 조사해야 할 포렌식 증거가 결정됩니다. 크리덴셜 스터핑에는 속도 제한과 MFA가 필요하며, 관리자 API의 인증 누락은 근본적으로 다른 대응이 요구됩니다.
취약한 인증의 원인
취약한 인증은 단일 설계 실수에서 발생하지 않습니다. 이는 네 가지 범주에 걸친 복합적 약점에서 비롯되며, OWASP 가이드는 이를 취약한 접근 제어, 암호화 실패, 구식 라이브러리 등 다른 Top 10 위험과 상호 연결된 것으로 식별합니다.
자격 증명 정책 실패
약한, 기본값, 널리 알려진 비밀번호 허용은 가장 근본적인 원인입니다. 애플리케이션이 일반적인 기본 비밀번호를 강제하지 않고 허용하면, 공격자에게 손쉬운 진입점을 제공합니다(CWE-521). NIST 63B-4는 검증자가 새 비밀번호를 알려진 유출 비밀번호 목록과 대조하도록 요구하지만, 많은 애플리케이션이 이 단계를 생략합니다.
비밀번호 재사용은 문제를 증폭시킵니다. DBIR 보고서는 서비스 간 비밀번호 재사용이 여전히 흔하며, 이는 탈취된 자격 증명이 공격자에게 훨씬 더 유용하게 만듦을 강조합니다.
인증 흐름 설계 실패
MFA 부재(CWE-308)는 계정이 탈취, 추측, 피싱될 수 있는 단일 요소로만 보호됨을 의미합니다. 지식 기반 답변에 의존하는 약한 자격 증명 복구 메커니즘은 쉽게 추측 가능한 별도의 인증 경로를 만듭니다. 로그인 시도에 대한 속도 제한 부재(CWE-307)는 공격자가 대량의 조합을 제약 없이 테스트할 수 있게 합니다.
소스 코드나 설정 파일에 하드코딩된 자격 증명(CWE-798)은 완전한 설계 실패를 의미합니다. 이 약점은 최근 CWE Top 25 순위에 등장하며, CISA 경고에서 산업 제어 시스템의 실제 악용 사례로 확인되었습니다.
세션 수명주기 관리 실패
세 가지 세션 수명주기 실패는 직접적인 악용 경로를 만듭니다:
- 로그인 후 세션 ID를 재생성하지 않으면 세션 고정 공격이 가능해집니다
- 세션이 유휴 또는 절대 시간 제한 없이 지속되면 세션 하이재킹의 창이 넓어집니다
- 세션 토큰을 URL에 포함시키면, URL을 기록하거나 캐시하는 모든 시스템을 통해 자격 증명이 유출됩니다
이러한 실패는 각각 독립적으로 위험을 높이며, 결합될 경우 공격자에게 무단 접근을 유지할 수 있는 다양한 옵션을 제공합니다.
암호화 및 전송 실패
비밀번호를 평문으로 저장하거나, 복호화 가능한 암호화, 약한 해싱 알고리즘을 사용할 경우, 데이터베이스 침해 시 자격 증명이 직접 노출됩니다. 인증 트래픽을 가로채는 잘못된 인증서 검증(CWE-295)과 같은 전송 실패도 있습니다. 이러한 원인은 종종 OWASP A02:2021 암호화 실패와 겹치며, 취약한 인증이 다른 취약점 범주와 교차함을 보여줍니다.
이 네 가지 범주는 거의 단독으로 나타나지 않습니다. 약한 자격 증명 정책은 크리덴셜 스터핑을 가능하게 하고, 속도 제한 부재는 이를 실질적으로 만들며, 부실한 세션 관리는 공격자가 진입한 후 공격 창을 넓힙니다. 시스템에 어떤 원인이 존재하는지 이해하면 위험의 심각성과 개선의 우선순위를 결정할 수 있습니다.
취약한 인증의 영향과 위험
취약한 인증의 결과는 개별 계정 탈취에서 조직 전체 침해, 규제·재정·운영적 피해로 확장됩니다.
침해 빈도
인증 실패는 가장 많이 악용되는 초기 접근 경로 중 하나입니다. DBIR 보고서는 자격 증명 오남용이 여전히 주요 침해 원인임을 확인합니다. 기본 웹 애플리케이션 공격 중 금융 서비스에서 탈취된 자격 증명이 특히 두드러집니다.
재정적 결과
IBM 보고서에 따르면, 2024년 전 세계 데이터 침해 평균 비용은 488만 달러로 전년 대비 10% 증가했습니다. 금융 서비스 조직은 침해당 평균 608만 달러로, 글로벌 평균보다 22% 높았습니다. 직접 비용 외에도, 침해 조직의 70%가 상당한 또는 중간 수준의 운영 중단을 보고했습니다.
연쇄적 비즈니스 영향
취약한 인증은 거의 한정되지 않습니다. 탈취된 자격 증명은 횡적 이동, 권한 상승, 데이터 유출, 랜섬웨어 배포의 전환점이 됩니다. Verizon DBIR은 랜섬웨어 피해와 자격 증명 덤프 내 피해자 도메인 존재 간 상관관계를 발견하여, 인증 약점이 랜섬웨어 위험과 직접 연결됨을 보여줍니다.
취약한 인증은 추상적인 애플리케이션 보안 문제가 아닙니다. 이는 침해가 시작되는 주요 메커니즘입니다.
공격자는 취약한 인증을 어떻게 악용하는가?
공격자는 발견한 특정 인증 약점에 따라 접근 방식을 선택합니다. 아래는 주요 악용 기법과 해당 CWE 매핑입니다.
MFA 피로도 및 사회공학
MFA가 크리덴셜 스터핑 시도를 차단하면, 공격자는 사회공학으로 전환합니다. MFA 피로도 공격은 정상 사용자에게 반복적으로 푸시 알림을 보내 사용자가 하나를 승인하도록 유도합니다. CISA 권고는 관련 기법을 문서화했습니다. 약한 비밀번호를 무차별 대입으로 알아낸 후, 공격자는 Duo의 기본 설정이 비활성 계정에 대해 재등록을 허용하는 점을 이용해 새 MFA 기기를 등록하고 네트워크에 접근했습니다.
SAML 토큰 위조
SolarWinds/SUNBURST 캠페인에서는 공격자가 Active Directory Federation Services 컨테이너에서 개인 암호화 키를 추출한 뒤, 모든 신뢰 당사자에게 유효해 보이는 SAML 어설션을 위조했습니다. CISA 권고에 따르면, 이 Golden SAML 기법은 합법적 자격 증명 없이 인증을 완전히 우회하여 미국 연방 기관의 클라우드 환경에 접근했습니다.
토큰 노출을 통한 세션 하이재킹
CVE-2023-4966 (Citrix Bleed)은 공격자가 원격 접속 장치에서 유효한 세션 토큰을 추출할 수 있게 했습니다. 탈취된 세션 토큰으로 공격자는 이미 인증된 사용자를 가장하여 비밀번호와 MFA 단계를 모두 우회할 수 있습니다. CISA는 패치 전 제로데이 악용이 있었음을 확인했습니다 [cite-19].
대체 경로를 통한 인증 우회
일부 취약점은 인증 요구 자체를 제거합니다. 한 네트워크 장비 결함은 Node.js 웹소켓을 통해 인증되지 않은 슈퍼 관리자 접근을 허용하여 치명적 심각도로 평가받았습니다 [cite-20]. 또 다른 관리 인터페이스 결함은 웹 관리 인터페이스를 통한 인증되지 않은 관리자 권한 상승을 가능하게 했습니다. 관리 인터페이스 문제는 CWE-306 (중요 기능에 대한 인증 완전 부재), 웹소켓 문제는 CWE-288 (대체 경로나 채널을 이용한 인증 우회)에 해당합니다.
캡처-재생 공격
공격자는 전송 중 인증 토큰이나 자격 증명을 가로채 재생하여 접근합니다(CWE-294). RFC 9700에서 지정한 송신자 제한 토큰이 없으면, OAuth 구현은 이 기법에 취약합니다.
각 기법은 서로 다른 포렌식 흔적을 남기므로, 탐지 및 대응 방식이 달라집니다.
취약한 인증의 영향 대상
취약한 인증은 사용자 신원에 기반한 접근 제어를 사용하는 모든 조직에 영향을 미칩니다. 그러나 특정 산업 및 시스템 유형은 위험이 더 높습니다.
웹 애플리케이션 및 API
자체 인증을 관리하는 모든 애플리케이션은 직접 노출됩니다. OWASP는 OWASP API Security 프로젝트에서 API 전용 취약한 인증을 명시적으로 다루며, 인증 엔드포인트에는 일반 API 속도 제한보다 더 엄격한 무차별 대입 방어가 필요함을 지적합니다.
클라우드 및 SaaS 플랫폼
Snowflake/UNC5537 캠페인은 단일 요소 인증만 적용된 클라우드 플랫폼이 고가치 표적임을 보여주었으며, MFA가 없는 계정이 다수 침해되었습니다. 인증을 IdP에 위임하는 클라우드 플랫폼은 IdP의 약점을 그대로 상속받습니다.
금융 서비스
금융 기관은 불균형적으로 높은 위험에 노출됩니다. Verizon 금융 스냅샷은 금융 서비스의 기본 웹 애플리케이션 침해에서 탈취된 자격 증명이 지배적임을 밝혔습니다. PayPal 크리덴셜 스터핑 사건은 규제 합의와 미국 고객 계정에 대한 MFA 의무화로 이어졌습니다.
중요 인프라 및 네트워크 장비
VPN 게이트웨이, 방화벽, 네트워크 관리 인터페이스는 주요 표적입니다. CVE-2019-11510, CVE-2024-55591, CVE-2024-53704는 모두 CISA가 Known Exploited Vulnerabilities 목록에 추가한 경계 장비의 인증 우회 취약점입니다.
의료 및 정부
민감한 개인정보를 처리하는 조직은 침해 위험과 규제적 결과 모두에 직면하며, CISA는 약한 인증이 CISA의 인증 평가에서 연방 고가치 자산 시스템의 주요 발견 사항임을 문서화했습니다.
다음 침해 사례는 이러한 위험이 산업별로 어떻게 현실화되는지 보여줍니다.
취약한 인증의 실제 사례
이 침해 사례들은 취약한 인증이 다양한 산업, 공격 기법, 영향 규모에서 어떻게 나타나는지 보여줍니다.
23andMe: 크리덴셜 스터핑을 통한 대규모 데이터 노출
공격자는 이전 침해에서 유출된 비밀번호와 일치하는 23andMe 사용자 계정 일부에 크리덴셜 스터핑을 사용했습니다. DNA Relatives 기능을 통해, 이 진입점은 훨씬 더 광범위한 프로필 데이터 노출로 확장되었습니다. 23andMe SEC 공시에 따르면, 회사는 사고 관련 비용을 부담했습니다. 침해 당시 MFA는 필수가 아니었습니다.
Snowflake/UNC5537: 인포스틸러 자격 증명의 후속 사용
위협 행위자 UNC5537은 인포스틸러 악성코드를 통한 자격 증명 탈취로 Snowflake 클라우드 데이터 웨어하우스 계정을 침해했습니다. Mandiant 조사에 따르면, 피해 계정 중 MFA가 활성화된 경우는 없었습니다. 피해자에는 Ticketmaster, Santander Bank, Advance Auto Parts가 포함됩니다.
SolarWinds/SUNBURST: SAML 토큰 위조
러시아 국가는 SolarWinds 빌드 프로세스를 침해해 ADFS 개인 암호화 키를 탈취했습니다. CISA 보고서에 따르면, 이들은 신뢰받는 SAML 인증 토큰을 위조해 합법적 자격 증명 없이 미국 정부 기관의 클라우드 환경에 접근했습니다.
PayPal: 크리덴셜 스터핑 및 규제 결과
공격자는 크리덴셜 스터핑으로 고객 계정에 접근해 매우 민감한 고객 데이터를 노출시켰습니다. 뉴욕 DFS는 규제 합의를 부과하고 미국 고객 계정에 MFA를 의무화했습니다.
GoDaddy: 수년간의 자격 증명 탈취
관리자 비밀번호 탈취로 공격자는 GoDaddy의 Managed WordPress 환경에 접근했습니다. GoDaddy 침해 보고에 따르면, 침해는 현재 및 비활성 Managed WordPress 고객의 워드프레스 관리자 자격 증명, FTP 계정, 이메일 주소에 영향을 미쳤습니다. 공격자는 악성코드를 설치하고 소스 코드도 획득했습니다.
Yahoo: 대규모 쿠키 위조
Yahoo 침해는 최종적으로 30억 모든 사용자 계정에 영향을 미쳤습니다. 뉴욕타임즈 보도에 따르면, 공격자는 위조된 인증 쿠키로 비밀번호 없이 계정에 접근했습니다. 이후 침해에서는 관리자 자격 증명 피싱이 있었으며, 쿠키 위조는 국가 지원 행위자와 연관되었습니다.
이 사건들은 20년간 이어진 더 넓은 역사적 패턴의 일부입니다.
취약한 인증: 연대표
취약한 인증의 역사는 초기 세션 관리 결함에서 오늘날의 신원 계층 공격까지 웹 보안의 진화를 보여줍니다.
| 연도 | 주요 사건 |
| 2004 | 최초 OWASP Top 10 발표; "Broken Authentication and Session Management"가 A3에 등재됨. |
| 2012 | LinkedIn 침해로 솔트 없는 SHA-1 해시를 통한 대규모 자격 증명 유출. |
| 2013 | Yahoo 침해로 모든 사용자 계정 영향; 악성 코드로 계정 제어 우회. OWASP는 취약한 인증을 A2로 분류. |
| 2017 | OWASP Top 10에서 취약한 인증을 A2로 유지, 대규모 크리덴셜 스터핑 컬렉션의 가용성 강조. |
| 2019 | CVE-2019-11510, Pulse Connect Secure, CISA KEV에 추가. |
| 2020 | SolarWinds/SUNBURST: SAML 토큰 위조로 미국 연방 기관 침해. |
| 2021 | CISA, 러시아 행위자의 Duo MFA 우회(비활성 계정 재등록) 문서화. OWASP, 범주를 A07로 재분류. |
| 2022 | Uber, MFA 피로도 공격으로 침해. PayPal 크리덴셜 스터핑으로 규제 합의. |
| 2023 | 23andMe 크리덴셜 스터핑으로 수백만 프로필 노출. Citrix Bleed로 세션 하이재킹 발생. |
| 2024 | Snowflake/UNC5537 캠페인, MFA 미적용 조직 다수 침해. |
| 2025 | OWASP Top 10:2025, 범주 추가 확장. CVE-2024-55591 주목, Verizon DBIR에서 자격 증명 오남용이 주요 초기 접근 경로임을 확인. |
취약한 인증은 웹 애플리케이션 결함에서 애플리케이션, 인프라, 클라우드 환경 전반의 전체 스택 신원 보안 문제로 발전했습니다.
취약한 인증 탐지 방법
취약한 인증을 찾으려면 애플리케이션 설계 결함, 런타임 자격 증명 오남용, 인증 후 행동 이상까지 포괄하는 다계층 접근이 필요합니다.
로그 및 세션 분석
OWASP 인증 치트시트는 모든 인증 실패, 비밀번호 실패, 계정 잠금 이벤트를 반드시 기록하고 검토해야 한다고 명시합니다. 크리덴셜 스터핑을 나타내는 패턴(동일 IP 대역에서 여러 계정에 대한 대량 로그인 실패, 다양한 지역에서 단일 계정에 대한 로그인 실패 등)을 찾아야 합니다.
OWASP 세션 관리 치트시트는 재인증을 유발해야 하는 세션 이벤트(새 IP, 의심스러운 IP에서의 로그인, 비밀번호 변경 시도, 계정 복구 완료 등)를 식별합니다. 사용자 지정 세션 ID를 허용하는 관대한 세션 관리(취약)와 서버 생성 ID만 허용하는 엄격한 세션 관리(안전)를 구분해야 합니다.
동적 애플리케이션 보안 테스트(DAST)
OWASP Testing Guide는 WSTG-ATHN 시리즈에서 인증 전용 테스트 절차를 정의합니다. 여기에는 기본 자격 증명, 약한 잠금 메커니즘, 인증 스키마 우회, 취약한 비밀번호 재설정, 약한 보안 질문, MFA 구현 결함 테스트가 포함됩니다. DAST 스캐너 및 비밀번호 테스트 도구는 실행 중인 애플리케이션에 대해 이러한 테스트를 수행합니다.
하드코딩 자격 증명에 대한 정적 분석
정적 애플리케이션 보안 테스트(SAST) 도구는 배포 전 소스 코드를 스캔하여 하드코딩된 비밀번호(CWE-798), 약한 암호화 구현, 불안전한 세션 로직을 찾습니다. 이는 DAST가 외부 인터페이스로 노출되지 않은 코드 경로의 자격 증명 관리 결함을 탐지할 수 없기 때문에 필요합니다.
신원 위협 탐지 및 대응(ITDR)
공격자가 탈취된 유효 자격 증명을 사용할 경우, 트래픽이 정상처럼 보이고 악성코드가 없어 네트워크 및 엔드포인트 보안을 모두 우회합니다. ITDR 시스템은 신원 계층을 모니터링하며, 인증 이벤트를 행동 기준선과 비교합니다. 이상 징후로는 비정상 지역에서의 로그인, 무관한 데이터셋 간 횡적 이동, 비정상 권한 상승 요청 등이 있습니다. XDR 아키텍처는 인증 이상과 이후 네트워크 계층 횡적 이동을 연계해, 개별 도구가 놓치는 전체 공격 체인을 드러냅니다.
취약한 인증 예방 방법
예방은 근본 원인에 직접 대응합니다. 아래 각 통제는 특정 취약한 인증 하위 유형을 다루며, 관련 표준을 참조합니다.
피싱 저항 MFA 도입
CISA 가이드는 FIDO2/WebAuthn 및 PIV/CAC 스마트카드를 피싱 저항 MFA의 표준으로 제시합니다. 푸시 기반 MFA는 피로도 공격과 실시간 피싱에 취약합니다. NIST SP 800-63B는 더 강한 보증 수준에서 승인된 MFA를 요구합니다.
현대적 자격 증명 정책 적용
NIST 63B-4 요구사항에 맞추세요: 새 비밀번호를 알려진 유출 비밀번호 목록과 대조, 유니코드·공백 포함 모든 문자 허용, 최소 길이 강제, 주기적 변경 요구 금지. OWASP 인증 치트시트는 비밀번호 강도 측정기 포함, 유출 확인 시에만 자격 증명 교체를 권장합니다.
저장 시, 비밀번호 저장 치트시트는 Argon2id를 기본 해시 알고리즘으로, scrypt, bcrypt, PBKDF2를 대안으로 권장합니다. 적절한 솔트, 페퍼, 작업 인자 구성 및 레거시 해시 업그레이드 경로를 포함해야 합니다.
속도 제한 및 계정 잠금 구현
인증 엔드포인트에는 일반 API 속도 제한보다 더 엄격한 무차별 대입 방어를 적용하세요. OWASP API Security 2023 프로젝트는 계정 잠금, CAPTCHA, 점진적 지연을 명시합니다. OWASP Testing Guide는 실제 사용되는 잠금 임계값도 설명합니다.
사용자가 인증에 성공하면, 세션 자체가 새로운 공격 표면이 됩니다. 세션 발급, 저장, 만료를 안전하게 처리하는 것도 별도로 중요합니다.
세션 관리 강화
암호학적으로 안전한 난수 생성기를 사용해 서버가 생성한 고엔트로피 세션 ID를 사용하세요. 로그인 성공 시마다 세션 ID를 재생성하세요. 유휴 및 절대 시간 제한을 설정하세요. 세션 토큰을 URL에 절대 포함하지 마세요. OWASP 세션 관리 치트시트는 J2EE, ASP.NET, PHP 등 내장 세션 관리 프레임워크 사용을 권장하며, 커스텀 구현은 피해야 합니다.
계정 열거 및 복구 강화
모든 인증 결과에 대해 동일한 응답 메시지를 사용해 공격자가 유효/무효 사용자명을 구분하지 못하게 하세요. 비밀번호 찾기 치트시트는 보안 질문이 유일한 복구 수단이 되어서는 안 되며, 자격 증명 복구 엔드포인트에도 로그인 엔드포인트와 동일한 무차별 대입 방어가 필요함을 명시합니다.
기본 자격 증명 제거
OWASP A07은 "특히 관리자 사용자에 대해 기본 자격 증명으로 출하 또는 배포하지 말 것"을 명확히 규정합니다. 배포 체크리스트에 기본 자격 증명 점검을 포함하세요.
OAuth 및 OIDC를 사용하는 애플리케이션의 경우, 강한 자격 증명과 세션 위생만으로는 충분하지 않습니다. 토큰 수준 통제가 자격 증명 계층 위에서 작동하는 재생 및 위조 공격을 차단합니다.
OAuth/OIDC 토큰 보안 강화
RFC 9700은 송신자 제한 액세스 토큰, 공개 클라이언트의 리프레시 토큰 회전, RFC 8705에 따른 Mutual TLS를 요구해 토큰 재생 공격을 방지합니다.
이러한 통제를 구현하려면 여러 보안 계층에 걸친 적절한 도구가 필요합니다.
탐지 및 예방 도구
취약한 인증을 차단하려면 단일 도구 범주로는 전체 공격 표면을 다룰 수 없으므로, 여러 도구 범주에 걸친 커버리지가 필요합니다.
| 도구 범주 | 주요 기능 | 대응 인증 공격 |
| DAST 도구 | 런타임 인증 흐름 테스트 | 우회, 약한 잠금, 세션 토큰 노출, 기본 자격 증명 |
| SAST 도구 | 배포 전 소스 코드 분석 | 하드코딩 자격 증명, 약한 암호화, 불안전한 세션 로직 |
| ITDR | 신원 계층 행동 모니터링 | 크리덴셜 스터핑, 침해 후 횡적 이동, 권한 상승 |
| 신원 연계 XDR | 계층 간 텔레메트리(엔드포인트, 네트워크, 클라우드, 신원) | 인증 후 횡적 이동, 불가능한 이동, 전체 공격 체인 재구성 |
| 행동 AI / UEBA | 인증 이벤트 스트림의 통계적 이상 탐지 | 자격 증명 오남용, 비정상 서비스 계정 활동 |
단일 도구로는 전체 공격 표면을 커버할 수 없습니다. 효과적인 커버리지는 배포 전 테스트, 런타임 행동 모니터링, 신원 계층 연계를 모든 소스에 적용해야 합니다. 아래는 SentinelOne이 이 스택을 어떻게 엔드 투 엔드로 지원하는지 설명합니다.
SentinelOne은 어떻게 지원할 수 있습니까?
공격자가 자격 증명을 탈취하면, 신속하게 움직입니다. SentinelOne은 전체 환경에서 신원 기반 공격을 실시간으로 탐지하고 차단할 수 있도록 지원합니다. 당사 솔루션이 어떻게 연동되어 지원하는지 아래에서 확인하세요.
Singularity™ AI SIEM: 위협에 대한 광범위한 가시성 확보
Singularity™ AI SIEM으로 시작하세요. 엔드포인트, 네트워크, 클라우드 서비스, 신원 공급자에서 인증 텔레메트리를 수집하고, 모든 데이터를 한 곳에서 연계합니다. 행동 분석을 통해 불가능한 이동 패턴(동일 토큰이 뉴욕과 도쿄에서 수 분 내 사용), 동시 세션 이상, 토큰 조작을 통한 권한 상승을 탐지합니다. 2024년 MITRE ATT&CK 평가에서 Singularity 플랫폼은 모든 공격 단계를 100% 지연 없이 탐지했고, 중간값 대비 88% 적은 경보를 발생시켜 팀이 불필요한 소음에 시달리지 않도록 합니다.
Singularity™ Identity: 공격자보다 먼저 취약점 탐지
Singularity™ Identity는 지속적인 신원 위협 탐지 및 대응(ITDR)을 제공합니다. 온프레미스 Active Directory와 Entra ID, Okta, Ping, Duo, SecureAuth 등 클라우드 신원 공급자에서 약하거나 노출되었거나 침해된 자격 증명을 스캔합니다. 로그인 실패 급증, 비정상 위치에서의 로그인, 서비스 계정 대상 Kerberosting 시도 등도 확인할 수 있습니다. 또한 신원 보안 태세 관리(ISPM)를 포함해, 일회성 감사가 아닌 지속적인 신원 보안 상태 평가를 제공합니다.
Purple AI: 자연어 질문으로 신속한 답변
경보가 발생하면, Purple AI가 조사 속도를 높입니다. "지난 72시간 동안 이 침해 계정이 접근한 모든 시스템을 보여줘"와 같은 평문 영어 질문을 입력하면, MITRE ATT&CK 전술 맥락과 함께 연계된 결과를 제공합니다. IDC Business Value 연구에 따르면, Purple AI를 사용하는 보안팀은 위협 식별 속도가 63% 빨라지고, 대응 속도도 55% 향상됩니다.
Singularity™ Data Lake 및 Storyline™ 활용
모든 이벤트 데이터는 Singularity™ Data Lake에 저장되며, Open Cybersecurity Schema Framework(OCSF)로 정규화됩니다. 쿼리는 기존 SIEM 대비 최대 100배 빠르게 실행됩니다. Storyline 기술은 전체 공격 체인을 재구성하여, 최초 자격 증명 탈취부터 모든 횡적 이동, 권한 상승, 데이터 접근까지 수동 연계 없이 전체 타임라인을 제공합니다.
SentinelOne 데모 요청을 통해 Singularity AI SIEM과 Singularity Identity를 직접 확인해보세요.
관련 취약점
취약한 인증은 여러 다른 취약점 범주와 교차하며, 이를 가능하게 합니다:
- 취약한 접근 제어(OWASP A01:2021): 인증은 신원을 확인하고, 접근 제어는 권한을 확인합니다. 공격자가 임의 계정 접근을 얻는 취약한 인증 결함은 해당 계정의 권한을 그대로 상속받아 접근 제어가 무의미해집니다.
- 암호화 실패(OWASP A02:2021): 약한 비밀번호 해싱, 평문 자격 증명 저장, 잘못된 인증서 검증은 인증 탈취를 직접 가능하게 하는 암호화 실패입니다.
- 보안 설정 오류(OWASP A05:2021): 기본 자격 증명, 관대한 MFA 재등록 설정, 과도한 세션 타임아웃 등은 인증 약점을 만드는 설정 실패입니다.
- 서버 측 요청 위조(SSRF): SSRF는 인증 우회와 결합되어, 침해된 서버에서 신뢰하는 내부 서비스에 접근할 수 있습니다.
- 인젝션 취약점: SQL 인젝션이 인증 쿼리를 조작해 로그인 로직을 완전히 우회할 수 있습니다.
- 자격 증명 탈취(MITRE ATT&CK T1078 Valid Accounts): 어떤 방식으로든 획득한 유효 계정 사용은 취약한 인증의 사후 악용 단계와 직접적으로 연결됩니다.
취약한 인증을 해결하면 신원 위험만 줄어드는 것이 아닙니다. 강력한 자격 증명 정책, MFA 강제, 강화된 세션 통제는 취약한 접근 제어, 암호화 실패, 설정 오류가 모두 의존하는 공유 공격 표면을 줄입니다.
관련 CVE
| CVE ID | 설명 | 심각도 | 영향 제품 | 연도 |
| 모바일 디바이스 관리 플랫폼의 API 인증 우회로 인증 없이 제한 기능에 접근 가능 | 높음 | Ivanti Endpoint Manager Mobile | 2025 | |
| 코드 실행 엔드포인트의 인증 누락으로 인증 없이 원격 코드 삽입 가능 | 치명적 | Langflow AI workflow platform | 2025 | |
| 관리 웹 인터페이스의 인증 누락으로 인증 없이 관리자 접근 가능 | 높음 | Palo Alto PAN-OS | 2025 | |
| SSLVPN 구성요소의 부적절한 인증으로 공격자가 활성 VPN 세션을 하이재킹 가능 | 높음 | SonicWall SonicOS | 2024 | |
| 관리 콘솔 인증 우회로 인증되지 않은 원격 공격자가 전체 관리자 접근 권한 획득 가능 | 치명적 | Ivanti Cloud Services Appliance | 2024 | |
| 대체 경로를 통한 인증 우회로 원격 지원 플랫폼의 완전한 인증 없는 장악 가능 | 치명적 | ConnectWise ScreenConnect | 2024 | |
| 메모리에서 세션 토큰 노출로 공격자가 인증된 세션을 하이재킹하고 MFA 우회 가능(Citrix Bleed) | 치명적 | Citrix NetScaler ADC and Gateway | 2023 | |
| 중요 API 엔드포인트의 인증 우회로 CI/CD 서버에서 인증 없는 원격 코드 실행 발생 | 치명적 | JetBrains TeamCity | 2023 | |
| API 인증 우회로 인증 없이 제한 엔드포인트 및 민감 데이터 접근 가능 | 치명적 | Ivanti Endpoint Manager Mobile | 2023 | |
| 구식 Apache xmlsec 라이브러리로 인한 SAML 인증 우회로 인증 없는 원격 코드 실행 가능 | 치명적 | Zoho ManageEngine (20+ products) | 2022 | |
| 대체 경로나 채널을 통한 인증 우회로 인증되지 않은 공격자가 권한 작업 수행 가능 | 치명적 | Fortinet FortiOS / FortiProxy / FortiSwitchManager | 2022 | |
| iControl REST API의 인증 누락으로 인증되지 않은 공격자가 임의 시스템 명령 실행 가능 | 치명적 | F5 BIG-IP | 2022 | |
| OpenSSO Agent 구성요소의 인증 누락으로 HTTP를 통한 인증 없는 전체 시스템 장악 가능 | 치명적 | Oracle Access Manager (Fusion Middleware) | 2021 | |
| SSRF 취약점으로 인증 전 우회 및 인증 없는 원격 코드 실행 가능(ProxyLogon) | 치명적 | Microsoft Exchange Server | 2021 | |
| Windows 파일 공유 브라우저 및 협업 기능을 통한 인증 우회로 인증 없는 RCE 가능 | 치명적 | Ivanti Connect Secure (Pulse Connect Secure) | 2021 | |
| 변경 불가 비밀번호의 미공개 하드코딩 계정으로 SSH 및 웹 UI를 통한 인증 없는 전체 관리자 접근 가능 | 치명적 | Zyxel USG / ATP / VPN firmware | 2020 | |
| Experimental API의 인증 누락으로 인증 없는 원격 접근 및 임의 코드 실행 가능 | 치명적 | Apache Airflow | 2020 | |
| 사용자명 대소문자 처리 오류로 공격자가 FortiToken 없이 SSL VPN에서 2단계 인증 우회 가능 | 치명적 | Fortinet FortiOS SSL VPN | 2020 | |
| wsdReadForm 엔드포인트의 인증 우회로 하드코딩 XOR 키를 이용해 모든 사용자 자격 증명 복호화 및 조회 가능 | 중간 | eWON Firmware 12.2–13.0 | 2019 | |
| 로그인 엔드포인트의 SQL 인젝션으로 인증 완전 우회 및 인증 없는 대시보드 접근 가능 | 치명적 | E Learning Script 1.0 | 2019 | |
| POST 파라미터를 통한 SQL 인젝션으로 인증 우회 및 무단 데이터베이스 접근 가능 | 높음 | Simplejobscript | 2019 |
결론
취약한 인증은 엔터프라이즈 침해에서 가장 많이 악용되는 초기 접근 경로 중 하나로 남아 있습니다. 인증 통제가 실패하면, 공격자는 약한 비밀번호, 취약한 세션, MFA 우회, 누락된 점검을 이용해 전체 계정 탈취로 이어질 수 있습니다.
피싱 저항 MFA, 현대적 자격 증명 정책, 안전한 세션 관리, 탈취 자격 증명 사용 현황을 보여주는 신원 계층 가시성을 통해 이러한 위험을 줄일 수 있습니다.
자주 묻는 질문
Broken Authentication은 신원 신뢰 실패입니다. 애플리케이션이 사용자가 누구인지 신뢰성 있게 검증하지 못하거나 로그인 후 해당 신원을 안전하게 유지하지 못할 때 발생합니다.
실제로는 약한 자격 증명 검사, 취약한 복구 흐름, 세션 처리 결함 등이 포함되어 공격자가 정상 사용자로 행동할 수 있게 만듭니다.
네. OWASP는 2004년 Top 10이 시작된 이후 이 범주를 포함해왔습니다. 명칭 변화도 중요합니다: "Broken Authentication"에서 "Identification and Authentication Failures", 그리고 "Authentication Failures"로의 변화는 위험이 이제 비밀번호, MFA, 세션 상태, 연동, 대체 접근 경로까지 확장되었음을 보여줍니다.
대부분 그렇습니다. 신뢰 경계는 종종 인터넷에 노출된 로그인, API, VPN 게이트웨이, SaaS 계정, 관리 인터페이스에 위치합니다.
공격자는 유효한 자격 증명을 재사용하거나, 노출된 인증 경로를 악용하거나, 세션을 탈취할 수 있으며, 이로 인해 활동이 전통적인 익스플로잇이 아닌 정상 접근처럼 보일 수 있습니다.
가장 위험한 시스템은 다른 시스템의 신원 결정을 내리는 시스템입니다: 웹 애플리케이션, API, 클라우드 콘솔, SSO 연동 서비스, 경계 장비 등이 해당됩니다.
간단한 규칙이 적용됩니다: 로그인 후 계정이 더 넓게 이동할수록 인증 실패의 피해가 더 커집니다.
대개 테스트와 재사용을 결합합니다. 테스트를 통해 약한 잠금, 복구, MFA, 세션 동작을 찾아냅니다. 재사용은 이미 동작하는 탈취된 자격 증명, 토큰, 알려진 CVE를 적용합니다.
이로 인해 공격자는 새로운 익스플로잇 없이도 비교적 저렴하게 침투할 수 있습니다.
초기 징후는 보통 단일 경보가 아닌 패턴입니다. 일반적인 지표로는 분산된 로그인 실패, 불가능한 이동, 비정상적인 복구 활동, 반복적인 MFA 요청, 성공적인 로그인 후 새로운 세션 동작 등이 있습니다.
핵심 신호는 인증, 세션, 권한 이벤트를 가로지르는 일련의 흐름입니다.
매우 심각합니다. 모든 제어의 관문 역할을 하는 인증 제어가 무너지기 때문입니다. 인증이 실패하면 공격자는 일반 사용자 권한, 특권 접근, 연동된 신뢰를 하위 시스템에 상속받을 수 있습니다.
이처럼 영향 범위가 넓기 때문에 자격 증명 남용과 인증 우회 결함이 대형 침해와 연결됩니다.
네. 인증 실패는 종종 진입점일 뿐, 최종 상태가 아닙니다. 내부에 진입한 후 공격자는 수평 이동, 권한 상승, 클라우드 리소스 접근, 신뢰된 신원 채널을 통한 지속성을 확보할 수 있습니다.
하나의 계정이 침해되면 조직 전체의 접근 문제로 빠르게 확산될 수 있습니다.
부분적으로만 가능합니다. 자동화 테스트는 약한 잠금, 복구 결함, 누락된 제어, 하드코딩된 자격 증명 탐지에 유용합니다. 하지만 공격자가 유효한 자격 증명이나 탈취된 토큰을 사용할 경우, 해당 행위가 정상처럼 보일 수 있어 효과가 떨어집니다.
그래서 신원 모니터링과 계층 간 상관관계가 중요합니다.
인증된 접근이 곧바로 규제 데이터, 자금 이동, 관리 제어, 핵심 운영으로 이어지는 산업이 가장 노출되어 있습니다. 금융 서비스, 정부, 의료, 클라우드 중심 기업, 인프라 운영자가 이에 해당합니다.
공통 위험 요소는 신뢰된 계정이 해제할 수 있는 가치와 범위입니다.
