MFA(다중 인증)가 사이버 보안의 마지막 방어선으로 여겨졌던 시기가 있었다. 그러나 최근 수년 간의 공격 사례는 그 신화를 무너뜨리고 있다. 특히 프록시 기반 세션 하이재킹 기술은 피해자 스스로 MFA 인증을 거쳤음에도 공격자에게 세션 토큰을 탈취당하게 만든다. 이러한 공격 방식은 악성코드 없이 탐지되지 않은 채 발생하며, 보안 솔루션이 정상 접속으로 간주해 아무 경고도 발하지 못하는 맹점을 가진다. 이러한 문제를 해결하기 위해 에이전트형 AI가 주목받고 있다.

사이버 보안 전문 기업 쓰렛헌터에이아이(ThreatHunter.ai)가 세션 하이재킹을 실시간으로 차단하는 에이전트형 AI ‘밀버트(MILBERT)’를 출시했다. 이 솔루션은 MFA를 우회하는 프록시 기반 세션 탈취 공격에 대응하기 위해 개발되었으며, 사용자 로그인 이후에도 실시간 세션 유효성 검증과 자동 차단 기능을 탑재하고 있다.

쓰렛헌터에이아이는 밀버트를 단순한 탐지 또는 로그 분석 도구가 아닌, 스스로 판단하고 대응하는 자율형 AI로 정의하고 있다. 밀버트는 실제 침해 사례를 기반으로 수년간 학습된 데이터와 시나리오를 반영하여, 공격자 활동에 실시간으로 반응한다. 공격자의 접속은 정상이 아닌 ‘신뢰의 침해’로 간주되며, 이를 세션 흐름 속에서 판별해내는 것이 밀버트의 핵심이다.

MFA 무력화 차단하는 밀버트의 방어 기술

밀버트는 단일 알고리듬이 아닌, 5개의 방어 계층을 통합한 다층 구조로 설계되어 있다. 첫 번째는 라이브 토큰 분석 계층으로, 로그인 이후 세션이 유지되는 전 과정을 모니터링하며 토큰이 재사용되거나 악성 프록시를 통해 도용되는 경우 이를 즉시 종료한다. 두 번째는 브라우저 및 기기 지문 분석 계층으로, 접속 헤더, 디바이스 정보 등에서 위조 또는 불일치 요소를 식별해 비정상 접속을 탐지한다.

세 번째는 행동 기준선 분석 계층이다. 사용자의 장기적인 로그인 패턴을 학습해 시간대, 접속 위치, 이용 빈도, 클릭 흐름 등의 데이터를 기반으로 정상과 이상 간의 편차를 분석한다. 네 번째는 신뢰 분류 엔진 계층으로, 접속 세션을 실시간으로 평가해 ▲신뢰 ▲조건부 허용 ▲강화 검증 ▲거부 ▲조사 대상 등으로 분류한다. 마지막으로 다섯 번째는 자율 대응 계층이다. 이 계층은 별도 관리자 승인 없이도 시스템이 스스로 차단, 경고, 세션 종료 등 조치를 수행할 수 있도록 한다.

쓰렛헌터에이아이는 이러한 다계층 구조를 통해 정상으로 보이는 로그인 속에서도 숨어 있는 침해 요소를 탐지하고 제거한다. 밀버트는 더 이상 인간이 확인한 후 대응하는 방식이 아닌, AI가 직접 판단하고 실시간으로 실행하는 ‘공격자보다 빠른 보안’을 구현한다고 밝혔다.

프록시 기반 세션 탈취의 위험성과 밀버트의 대응

쓰렛헌터에이아이는 Evilginx, Void Blizzard, Storm-2372, Tycoon 2FA와 같은 프록시 기반 세션 하이재킹 공격 캠페인을 지목하며, 이들이 비영리 단체, 정부 계약자, 중요 인프라 시설 등을 대상으로 실제 침투에 성공하고 있다고 밝혔다. 이러한 공격은 사용자가 로그인을 완료하고 MFA를 통과한 후, 프록시 서버가 세션 토큰을 탈취해 공격자가 합법적인 사용자로 위장하는 방식이다.

쓰렛헌터에이아이는 MFA가 통과된 이후에도 공격이 발생한다는 점에서 기존 보안 솔루션은 사실상 무력화되고 있다고 지적했다. 특히, EDR, SIEM, SEG 등 기존 엔터프라이즈 보안 도구는 이러한 프록시 기반 침해를 감지하지 못하거나 사후 대응에 머물러, 실시간 대응이 불가능한 상황이라고 밝혔다. 쓰렛헌터에이아이는 이러한 ‘사후 방어 체계’의 한계를 실시간 위협 추론 기반 에이전트 AI로 극복하고자 개발되었다.

밀버트는 승인을 기다리지 않고 스스로 판단하여 로그인 여부를 결정하며, 신뢰를 전제로 하지 않고 증명 기반으로 검증한다. AI는 단순히 체크박스에 기반한 인증이 아니라, 세션 흐름, 지문 정보, 행동 이력, 속도, 위험지수 등 복합 데이터를 기반으로 매 순간 로그인을 평가하고 필요 시 즉시 차단을 수행한다.

밀버트는 이미 다양한 글로벌 인프라 환경과 보안 스택에서 통합 테스트를 완료했으며, 실제 침해 사례를 통해 검증된 대응 성능을 확보하고 있다. 쓰렛헌터에이아이는 앞으로 밀버트의 적용 범위를 기업용 ID 시스템, 클라우드 SaaS 인증, 금융기관 내부망, 정부기관 통합 인증 시스템 등으로 확대할 계획이다.

쓰렛헌터에이아이의 보안 책임자는 “공격자는 더 이상 비밀번호를 추측하지 않는다. 이제는 신뢰를 훔친다. 밀버트는 이러한 신뢰 침해를 실시간으로 식별하고 제거할 수 있는 유일한 수단이다.”라며, “보안은 정적인 구조가 아니라, 실시간 위험에 맞춰 스스로 반응해야 하며 밀버트는 바로 그런 대응력을 갖춘 차세대 보안 시스템이다”라고 덧붙였다.