PANews는 9월 22일 SlowMist Technology의 최고정보보안책임자(CISO) 23pds가 X 플랫폼에 게시한 게시물에서 연구원들이 WebAuthn 키 기반 로그인을 우회할 수 있는 새로운 공격을 발견했다고 보도했습니다. 공격자는 악성 브라우저 확장 프로그램을 통해 WebAuthn API를 탈취하거나 웹사이트의 XSS 취약점을 악용하여 비밀번호 로그인을 강제로 다운그레이드하거나 키 등록 프로세스를 변조하여 사용자 자격 증명을 훔칠 수 있습니다. 이 공격에는 기기 접근이나 Face ID가 필요하지 않습니다. 악성 확장 프로그램이나 취약점이 있는 웹사이트에서 키 로그인을 사용하는 피해자는 신원 사칭을 경험하여 계정이 침해될 수 있습니다.

WebAuthn(웹 인증)은 W3C와 FIDO 얼라이언스가 개발한 웹 표준입니다. 공개 키 암호화를 통해 기존 비밀번호를 대체하거나 보완하는 안전한 인증을 목표로 합니다. 사용자는 하드웨어 보안 키(예: YubiKey), 내장 플랫폼 인증기(예: Windows Hello, Touch ID, Android 생체 인식) 또는 FIDO2 표준을 준수하는 기기를 사용하여 로그인할 수 있습니다.