Edgen Crypto·Sep 22 2025, 07:37
요약
SlowMist CISO 23pds는 WebAuthn 키 기반 로그인 시스템에서 심각한 보안 취약점을 발견했습니다. 이 취약점은 공격자가 악성 브라우저 확장 또는 교차 사이트 스크립팅(XSS) 취약점을 통해 WebAuthn API를 하이재킹할 수 있도록 합니다. 이 공격은 비밀번호 기반 로그인으로의 강제 다운그레이드 또는 키 등록 프로세스 조작을 통해 사용자 자격 증명을 훔칠 수 있습니다. 결정적으로, 이 방법은 물리적 장치 접근이나 생체 인식 인증이 필요 없으므로 WebAuthn을 사용하는 플랫폼에 상당한 위험을 초래하며 Web3 생태계 내의 시스템적 보안 문제를 강조합니다.
사건 상세
SlowMist의 최고 정보 보안 책임자 23pds는 새로운 WebAuthn 키 로그인 우회 공격을 공개했습니다. 이 방법은 악성 브라우저 확장 또는 손상된 웹사이트의 XSS 취약점을 활용하여 WebAuthn API를 악용합니다. 공격 메커니즘은 보안 수준이 낮은 비밀번호 기반 로그인으로 강제 다운그레이드하거나 키 등록 프로세스를 조작하여 사용자 자격 증명을 은밀히 획득하는 것을 포함합니다. 이 취약점의 핵심 특징은 피해자의 장치에 대한 물리적 접근이나 Face ID 또는 Touch ID와 같은 생체 인식 인증자와의 상호 작용 없이도 작동할 수 있다는 것입니다.
DEF CON에서 시연된 "Passkeys Pwned" 공격은 이것이 WebAuthn 자체의 암호학적 약점이 아니라 표준의 구현 결함이며 FIDO Alliance에 대한 비판이 아님을 더욱 명확히 합니다. 공격자는 WebAuthn API 호출을 프록시하여 패스키 등록 및 인증 응답을 위조할 수 있습니다. 이는 CDN 공격, XSS 및 악성 브라우저 확장과 같은 일반적인 웹 위협이 사용자의 엔드포인트, 운영 체제 또는 브라우저를 직접 침해하지 않고도 패스키를 통한 무단 접근을 용이하게 할 수 있음을 보여줍니다.
시장 영향
이 WebAuthn 취약점의 발견은 디지털 환경, 특히 Web3 생태계 전반에 걸쳐 강화된 보안 경계의 필요성을 시사합니다. 광범위하게 악용될 경우, 이 **"자격 증명 다운그레이드 공격"**은 막대한 자격 증명 도용과 상당한 자산 손실로 이어질 수 있으며, 추정치에 따르면 수억 달러에 달하는 디지털 자산에 잠재적으로 영향을 미칠 수 있습니다. 이 시나리오는 Ledger Connect Kit CDN 취약점과 같은 이전의 공급망 위험을 반영하며, 2025년 상반기에 16억 달러의 손실(전체 도난 자금의 거의 70%)을 초래한 Web3의 지속적인 접근 제어 실패의 보편성을 강조합니다.
광범위한 신원 위장 및 계정 침해 가능성은 현재 안전하다고 인식되는 인증 방법에 대한 사용자 신뢰를 심각하게 떨어뜨릴 수 있습니다. 영향을 받는 기업과 개발자는 사용자 자산을 보호하고 신뢰를 유지하기 위해 WebAuthn 구현을 검토하고 완화 조치를 배포해야 하는 긴급한 임무에 직면해 있습니다.
전문가 의견
SlowMist의 23pds는 이 중요한 WebAuthn 취약점에 대한 관심을 처음으로 제기하며, 물리적 장치 접근 없이 자격 증명을 훔칠 수 있는 잠재력을 강조했습니다. 이어서 SquareX Labs는 DEF CON에서 열린 "Passkeys Pwned" 프레젠테이션을 통해 공격의 특성을 자세히 설명하고 CDN 공격, XSS 및 브라우저 확장과 같은 일반적인 웹 위협을 이용하는 구현 결함으로 식별했습니다.
별도로 ChainGuard는 Web3 인증 프로토콜에 영향을 미치는 더 광범위한 **"자격 증명 다운그레이드 공격"**에 대한 경고를 발표했습니다. 이는 WebAuthn 취약점의 메커니즘과 일치하며, 보안 수준이 낮은 비밀번호 전용 접근을 강제하고 개인 키 도용을 용이하게 합니다. 이러한 위협에 대응하기 위해 보안 전문가는 악성 스크립트를 엄격하게 검사하고 차단하여 브라우저를 강화하고, 비화이트리스트 사이트 또는 확장이 WebAuthn API에 접근하는 것을 방지하며, 패스키를 사용하는 모든 ID 공급자에 대해 **다단계 인증(MFA)**을 구현하는 등 즉각적인 조치를 권장합니다.
광범위한 맥락
WebAuthn은 W3C와 FIDO Alliance가 공동 개발한 표준으로, 공개 키 암호화를 사용하여 비밀번호 없는 피싱 방지 인증을 향한 중요한 진전을 나타냅니다. 견고한 설계에도 불구하고 현재 중앙 집중식 의존 당사자에 대한 의존은 Web3의 분산 원칙에 대한 철학적이고 실질적인 도전을 제기합니다.
이 사건은 Web3 도메인 내에서 지속되는 접근 제어 실패 문제를 강조하며, 이는 여전히 익스플로잇의 주요 벡터입니다. 또한 Web3 보안의 광범위한 환경은 사용자가 악의적인 거래를 무의식적으로 서명하도록 속이는 **"블라인드 메시지 공격"**과 같은 취약점에도 직면해 있습니다. 이러한 공격은 테스트된 Web3 인증 배포의 75.8%를 위험에 빠뜨리는 것으로 밝혀졌습니다. 지속적인 위협은 강력한 보안 프레임워크, 일관된 권한 검사, 그리고 진화하는 공격 벡터에 대한 지속적인 적응을 필요로 하며, 이는 Web3 생태계의 복원력을 강화하기 위한 완전히 분산된 P2P 인증 솔루션의 개발 및 채택을 가속화할 수 있습니다.
