디지털 전환 가속화와 함께 클라우드 인증 체계를 노린 공격이 증가하는 가운데, 구식 인증 프로토콜의 잔존이 보안 위협의 핵심 요인이 되고 있다. 최신 다중 인증(MFA)과 조건부 액세스를 우회하는 방식의 공격이 성행하면서, 인증 체계 현대화의 필요성이 더욱 커지고 있다.

엔트라 ID BAV2ROPC 프로토콜 노린 정교한 공격

AI 기반 사이버 보안 기업 가드즈(Guardz)는 2025년 3월 18일부터 4월 7일까지 발생한 정교한 사이버 공격 캠페인을 추적했다고 발표했다. 해당 캠페인은 마이크로소프트 엔트라 ID(Microsoft Entra ID)의 레거시 인증 프로토콜인 BAV2ROPC(리소스 소유자 비밀번호 자격 증명)를 집중적으로 악용하며, 최신 보안 체계를 우회한 것으로 밝혀졌다.

공격자들은 초기 단계에서 하루 2709회 수준의 저강도 로그인을 시도했고, 이후 하루 평균 6444회 이상의 급증세를 보이며 집중 공격 단계로 전환했다. 가드즈는 이 공격이 동유럽 및 아시아 태평양 지역의 분산 IP 주소에서 비롯되었으며, 9000건 이상의 의심스러운 로그인 시도가 있었다고 분석했다.

MFA 우회와 비대화형 인증 흐름 악용의 위험성

이번 공격에서 활용된 BAV2ROPC는 사용자 이름과 비밀번호만으로 인증이 가능하며, MFA나 조건부 액세스 정책 등 보안 기능을 우회할 수 있다. 이는 엔트라 ID의 백호환성 기능으로 도입된 레거시 메커니즘으로, 최근에는 익스체인지 온라인(Exchange Online) 등 주요 클라우드 리소스를 대상으로 무단 접근 시도가 잦아지고 있다.

가드즈는 자사 연구부(GRU)와 AI 기반 에이전트를 활용해 캠페인 전반에 걸쳐 수천 건의 공격 패턴을 분석했다. 이를 통해 공격자들의 자동화, IP 순환 전략, 도구 활용 방식 등을 실시간 추적했다. 비정상적 로그인 시도와 인증 실패 패턴 등을 다크웹까지 포함한 외부 소스와 연계해 분석함으로써, 위협 캠페인의 조직적 특성을 확인했다.

또한, 가드즈는 중소기업의 제한된 보안 역량을 고려해 신원 보호, 이메일 보안, 자동화된 대응 기능 등을 통합한 AI 기반 보안 플랫폼을 제공한다. 이를 통해 기업은 사내 인프라 없이도 실시간 위협 탐지와 대응을 수행할 수 있다.

조직에 권고된 보안 조치와 대응 방향

가드즈는 모든 조직이 즉시 레거시 인증 프로토콜 사용을 중단하고, 최신 인증 체계를 도입할 것을 권고한다. 특히 ROPC와 같은 구식 인증 흐름을 조건부 액세스를 통해 차단하고, 모든 계정에 MFA를 강제 적용하며, 인증 로그에 대한 상시 모니터링 체계를 갖춰야 한다고 강조했다.

이번 공격 캠페인은 엔트라 ID 기반 인증 환경에 존재하는 구조적 허점을 여실히 드러냈으며, 특히 금융, 의료, 기술 서비스 산업 등 규제 산업에서의 긴급 대응이 필요한 상황임을 보여준다. 가드즈는 이러한 위협에 대한 대응책을 지속적으로 연구하고 있으며, 향후에도 AI 중심의 탐지 기술 고도화를 통해 중소기업 보안 방어력을 향상시키는 데 집중할 계획이다.

가드즈는 “많은 기업이 아직도 구식 인증 체계를 사용하는 것이 사실이며, 이는 단순한 경고를 넘어 보안 인프라 전면 재정비의 필요성을 시사한다.”라고 강조한다.

가드즈의 CEO 도르 아이스너(Dor Eisner)는 “이 캠페인은 더 이상 현재의 위협 환경에 대응하지 못하는 기술을 폐기해야 할 필요성에 대한 경고”라며, “MSP와 중소기업이 공격을 사전에 식별하고 선제적으로 대응할 수 있도록 돕는 것이 우리의 핵심 과제”라고 밝혔다.