다중 인증(MFA)은 오랫동안 계정 보호의 핵심 수단으로 사용돼 왔으나, 최근 사이버 공격은 MFA 로그인 이후의 세션 하이재킹으로 방향을 전환하고 있다.

2024년 성공한 사이버 공격의 87%가 유효한 MFA 로그인 후 세션 토큰 탈취를 통해 발생했으며, 러시아의 국가 지원 조직 보이드 블리자드(Void Blizzard)는 Evilginx2와 같은 도구로 이를 실시간 수행하고 있다. 이러한 공격은 MFA 시스템이 인증 성공을 표시하는 동안에도 이메일과 파일을 대량 유출할 수 있어, 보안팀이 ‘안전하다’고 판단하는 시점에 이미 침해가 진행되는 심각한 문제를 야기한다.

에이전트 기반 AI 방어 아키텍처

사이버 보안 기업 스렛헌터 AI(ThreatHunter.ai, 설립자 제임스 맥머리)가 인증 프로세스 중에 중간자 공격을 실시간 탐지·차단하는 최초의 에이전트 AI 시스템 밀버트AI(MILBERT.AI)를 발표했다.

이 솔루션은 애저 AD(Azure AD), 옥타(Okta) 등 ID 공급자와 직접 통합돼 인증 계층에 AI 추론 기능이 내장됐으며, 행동 패턴·기술 지표·실시간 위협 인텔리전스를 상관 분석해 수 초 내 탐지와 대응을 수행한다. 핵심 기능으로는 실시간 세션 토큰 분석, 고급 브라우저 지문 인식, 사용자 활동 이상 탐지, 손상 세션 즉시 종료와 공격 인프라 차단, 다중 소스 위협 인텔리전스 융합이 포함된다.

밀버트AI는 초기 배포에서 새로운 공격을 탐지 후 몇 초 만에 차단했으며, 탐지율은 80% 이상, 오탐률은 1% 미만으로 보고됐다. 한 대형 엔터테인먼트 기업 사례에서는 활성화 몇 분 만에 23개 계정의 침해를 발견했는데, 해당 침해는 45일 이상 지속됐음에도 기존 SIEM, 아웃소싱 MDR, 이메일 보안이 전혀 감지하지 못한 것이었다. 이는 모든 시스템에 포괄적 MFA를 적용한 상태에서도 발생해, 기존 보안 스택의 한계를 보여준다.

쓰렛헌터AI 제임스 맥머리(James McMurry 설립자는 “밀버트.AI는 모든 로그인 시도에 베테랑 보안 분석가를 투입하는 것과 같다”며 “공격자가 데이터에 접근하기 전 선제적으로 탐지·대응한다”고 말했다.

밀버트AI는 표준 SAML/OIDC 프로토콜을 통해 최소한의 구성으로 클라우드 환경에 통합되며, 성능 저하 없이 중견기업부터 글로벌 기업까지 자동 확장 가능하다.

연간 5000달러부터 시작하는 가격으로 엔터프라이즈급 ID 보호 기능을 제공해 규모에 관계없이 적용할 수 있다. 스렛헌터 AI는 ‘MILBERT: 고급 자격 증명 도용에 대한 에이전트 AI 방어’라는 기술 논문을 발간해 국가 지원 위협 그룹 캠페인 포렌식과 탐지 방법론을 공개했다. 회사는 향후 파트너십을 통해 다양한 ID 관리·보안 플랫폼과의 통합을 확대하고, 실시간 인증 계층 방어의 표준화를 추진할 계획이다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.