최근 러시아 해킹 사건의 가장 소름끼치는 측면 중 하나는 다른 목표들 중에서도 미국 정부 기관을 침범한 것이다. 그리고 이것은 IT 서비스 회사인 솔라윈즈(SolarWinds)의 단일 타협으로 수만 개의 잠재적 목표물을 얻기 위한 "공급망 공격"의 성공적인 사용이었다. 하지만 이것이 해당 공격의 유일한 두드러진 특징은 아니었다. 처음 발판을 마련한 후, 공격자들은 간단하고 우아한 전략으로 피해자의 네트워크를 더 깊이 파고들었다. 이제 연구원들은 다른 공격자들로부터 이러한 기술이 급증할 것에 대비하고 있다.
솔라윈즈 해커들은 많은 경우에 그들의 접근을 이용해 피해자들의 마이크로소프트 365(Microsoft 365) 이메일 서비스와 마이크로소프트 애져 클라우드(Microsoft Azure Cloud) 인프라에 침투했다. 둘 다 잠재적으로 중요한 데이터의 보물창고이다. 마이크로소프트365 및 애져에 이러한 유형의 침입을 방지하는 문제는 단순히 패치 적용 가능한 특정 취약성에 의존하지 않는다는 것이다. 대신 해커들은 초기 공격을 사용하여 마이크로소프트 365와 애져를 합법적으로 조작한다. 이 경우, 큰 효과를 얻을 수 있다.
맨디언트 파이어아이(Mandiant Fireeye)의 매튜 맥휘트(Matthew McWhirt) 감독은 12월 초에 러시아 캠페인을 처음 확인했다고 말했다.
"앞으로 다른 공격자들이 이 사실을 인지하고 더 많이 사용하게 될 것이다." 셰이크 라이너(Shaked Reiner), 사이버아크(CyberArk)
최근의 공격에서 해커들은 솔라윈즈 제품인 오리온(Orion)을 손상시키고, 공격자들에게 악성 패치를 다운로드한 모든 솔라윈즈 고객의 네트워크에 발판을 마련해 주는 오염된 업데이트를 배포했다. 거기서 공격자는 공격 대상 시스템에서 새로 발견된 권한을 사용하여 마이크로소프트 365와 애져의 SAML 토큰으로 알려진 시스템 인증 토큰을 생성하는 데 사용되는 인증서와 키를 제어할 수 있었다. 조직은 ADFS(Active Directory Federation Services)라는 마이크로소프트 구성 요소를 통해 이 인증 인프라를 클라우드가 아닌 로컬에서 관리한다.
[사진=UNSPLASH]
공격자가 이 인증 체계를 조작할 수 있는 네트워크 권한을 가지면 올바른 토큰을 생성하여 조직의 마이크로소프트 365 및 애져 계정에 액세스할 수 있으며 암호나 멀티팩터 인증이 필요하지 않다. 거기서부터, 공격자는 새로운 계정을 만들 수 있고, 적신호를 보내지 않고 자유롭게 돌아다니는 데 필요한 높은 권한을 자신에게 부여할 수 있다.
마이크로소프트는 솔라윈즈 해커와 연계한 12월 블로그 게시물에서 "정부와 민간 부문이 국가 활동에 대해 점점 더 투명해지고 있어 인터넷 보호에 대한 글로벌 대화를 지속할 수 있는 것이 중요하다고 생각한다"고 밝혔다. "우리는 또한 이 정보를 게시함으로써 조직과 개인들이 자신을 보호하기 위해 취할 수 있는 조치에 대한 인식을 높이는 데 도움이 되기를 바란다."
국가안전보위부(The National Security Agency)도 12월 보고서에서 이 기술을 상세히 설명했다.
NSA는 "인증을 수행하는 제품을 실행할 때 서버와 이에 의존하는 모든 서비스가 안전한 작동과 통합을 위해 적절하게 구성되는 것이 중요하다"고 썼다. "그렇지 않으면 SAML 토큰이 위조되어 수많은 리소스에 액세스할 수 있다."
그 후 마이크로소프트는 애져 센티넬(Azure Sentinel)에서 모니터링 툴을 확장했다. 또한 맨디언트(Mandiant)는 새로운 인증서와 계정에 대한 정보 표지와 같은 애져 및 마이크로소프트 365용 인증 토큰 생성을 사용하여 다른 사용자가 조작했는지 여부를 쉽게 평가할 수 있는 도구를 출시하고 있다.
기술이 매우 공개적으로 노출되었으므로, 더 많은 조직들이 이러한 악의적인 활동을 경계할 수 있다. 그러나 SAML 토큰 조작은 애져의 사용자뿐만 아니라 사실상 모든 클라우드 사용자에게 위험이다. 일부 연구원들이 수년간 경고한 바와 같다. 2017년, 기업 방산업체 사이버아크의 연구원 셰이크 라이너는 골든SAML(GoldenSAML)이라고 불리는 이 기술에 대한 연구 결과를 발표했다. 그는 보안 실무자들이 그들의 고객이 잠재적인 SAML 토큰 조작에 취약한지 테스트하기 위해 사용할 수 있는 개념 증명 도구를 만들기도 했다.
라이너는 단순히 높은 수준의 접근성이 요구되기 때문에 공격자가 지난 몇 년 동안 골든SAML 기술을 더 자주 사용하지 않았다고 의심한다. 그럼에도 불구하고, 그는 기술의 효과로 볼 때, 늘 배치 증대를 피할 수 없는 것으로 간주해 왔다고 말한다. 또한 2014년 잘 알려진 마이크로소프트 액티브 디렉토리(Microsoft Active Directory) 공격인 골든 티켓(Golden Ticket)을 기반으로 한다.
라이너는 "솔라윈즈 공격진이 이 기술을 사용했다는 것을 보았을 때 우리는 타당하다고 느꼈지만 실제로 놀라지는 않았다"고 말했다. "이것은 비록 수행하기가 어려운 기술이지만, 공격자에게 필요한 많은 중요한 이점을 제공한다. 솔라윈즈의 공격자들은 그것을 매우 성공적으로 사용했기 때문에 나는 다른 공격자들이 이것을 알아채고 앞으로 점점 더 많이 사용할 것이라고 확신한다."
마이크로소프트와 다른 회사와 함께, 맨디언트와 사이버아크는 현재 고객이 골든 SAML 유형의 공격을 더 빨리 포착하기 위해 예방 조치를 취하거나 그러한 해킹이 이미 진행 중이라면 더 신속하게 대응할 수 있도록 돕고 있다. 화요일 발간된 보고서에서, 맨디언트는 어떻게 조직들이 이러한 전술들이 자신들에 대항하여 사용되었는지 여부를 확인하고, 공격자들이 미래에 그것들을 탐지되지 않고 사용하는 것을 더 어렵게 만들기 위해 어떻게 통제력을 설정할 수 있는지를 상세히 설명하고 있다.
"이전에 이런 방법을 쓰는 것을 봤지만 UNC2452 정도까지는 본 적이 없다"고 솔라윈즈의 공격을 자행한 그룹은 말한다. "그래서 우리는 조직이 이 문제를 조사하고 해결하며 이에 대처하는 방법에 대해 일종의 간결한 플레이북을 구성하고자 했다."
우선, 조직은 토큰 서명 인증서를 보유한 서버와 같은 "ID 제공자 서비스"가 올바르게 구성되었는지, 네트워크 관리자가 해당 시스템이 무엇을 하고 있는지, 무엇을 해야 하는지 제대로 파악할 수 있는지 확인해야 한다. 또한 인증 시스템에 대한 액세스를 차단하여 너무 많은 사용자 계정과 상호 작용하고 수정할 수 있는 권한을 갖지 않도록 하는 것이 중요하다. 마지막으로 토큰이 실제로 비정상적인 활동을 포착하기 위해 어떻게 사용되는지 모니터링하는 것이 중요하다. 예를 들어, 몇 달 또는 몇 년 전에 발행되었지만 갑자기 활성화되고 몇 주 전에 활동을 인증하는 데 사용되기 시작한 토큰을 볼 수 있다. 레이너는 또한 공격자들의 추적을 은폐하려는 노력은 강력한 모니터링 기능을 가진 조직에게 지시할 수 있다고 지적한다. 토큰이 널리 사용되고 있지만 토큰이 발행된 시점의 로그를 찾을 수 없다면 이는 악의적인 활동의 징후일 수 있다.
"더 많은 조직이 점점 더 많은 시스템을 클라우드로 이전함에 따라 SAML은 이러한 환경에서 사용되고 있는 사실상의 인증 메커니즘이다."라고 사이버아크의 레이너는 말한다. "이러한 공격 벡터를 갖는 것은 자연스러운 일이다. 이러한 취약성은 실제로 취약성이 아니며 프로토콜에 내재되어 있기 때문에 조직은 이에 대비해야 한다. 앞으로 이러한 문제가 계속 발생할 것이다."
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 배효린 에디터)
![[사진=UNSPLASH]](/news/photo/202101/2881_3874_2731.jpg)
뉴스레터 신청