일상 속 반복 작업 자동화는 지난 몇 년 사이에 훨씬 더 수월해졌다. 드래그 앤드 드롭 자동화 소프트웨어를 사용해, 스프레드시트 작업 시간을 추적하거나 누군가가 이메일로 자신을 언급하면, 할 일 목록을 자동 생성할 수 있다. 자동화 툴은 편리함을 더하지만, 반대로 위험성을 더하기도 한다.
어느 한 보안 연구원이 마이크로소프트의 소프트웨어 자동화 툴을 탈취해, 랜섬웨어 조직에 데이터를 전송하거나 기기에 연결한 뒤 데이터 탈취 공격을 개시할 방법을 발견했다. 설계 즉시 자동화 툴을 악용한 채로 공격을 개시하며, 올바른 사용자에게 데이터를 전송하지 않고 멀웨어 배포에 악용한다. 모두 보안 기업 제니티(Zenity) 공동 창립자 겸 최고 기술 관리자인 마이클 바거리(Michael Bargury)가 연구 후 발견한 문제이다.
바거리는 “자체 연구 결과, 해커 세력이 설계 의도에 정확하게 부합하는 방식으로 자동화 기능을 악용한다. 이후 사용자는 기업의 자동화 툴이 아닌 자체 자동화 툴을 사용한다”라고 설명했다. 바거리는 2022년 8월 개최된 데프콘(DefCon) 해커 컨퍼런스 현장에서 마이크로소프트 소프트웨어 자동화 툴의 보안 문제를 발표한 뒤 코드를 공개했다.
바거리가 발견한 공격은 윈도11의 자동화 툴인 마이크로소프트 파워 오토메이트(Power Automate)를 기반으로 한다. 파워 오토메이트는 컴퓨터가 인간의 행동을 모방해 작업을 완료하는 로봇 프로세스 자동화 형태(RPA)를 사용한다. 매번 RSS 피드 업데이트 알림을 받고자 한다면, 맞춤형 RPA 과정을 구축하면 된다. 자동화 기능은 총 수천 가지가 존재하며, 마이크로소프트가 제공하는 소프트웨어는 아웃룩, 팀스, 드롭박스 등 다양한 앱과 연결하여 자동화 기능을 지원한다.
소프트웨어는 코딩 지식이 없어도 누구나 필요한 앱을 제작하도록 지원할 폭넓은 로우코드/노코드 운동의 일환으로 등장했다. 바거리는 “모든 기업 사용자는 개발자만 지녔던 앱 개발 능력을 어느 정도 갖추었다”라고 말했다. 제니티는 보안 능력을 갖춘 로우코드/노코드 앱 개발을 돕는다.
바거리의 자동화 툴 보안 문제 연구는 해커 세력이 피싱이나 내부자 위협을 통해 이미 타인의 컴퓨터 접근 권한을 손에 넣은 시점부터 시작했다. 기업 컴퓨터는 패치와 업데이트 부재 등과 같은 문제로 보안 문제에 노출되는 때가 흔하다. 해커 세력은 보안 패치가 완벽하지 않은 부분을 기업 네트워크 접근 시작점으로 삼는다.
해커 세력이 컴퓨터에 접근하면, 몇 가지 추가 단계를 거쳐 RPA 설정을 악용한다. 그 과정은 비교적 간단하다. 바거리는 “RPA 설정 악용 단계에서는 해킹 사례가 많지 않다”라며, 파워 Pwn (Power Pwn) 전체 과정을 언급했다. 파워 Pwn은 깃허브에도 공개되었다.
[사진=Unsplash]
먼저, 해커 세력은 테넌트(tenant)라고도 알려진 마이크로소프트 클라우드 계정을 생성한 뒤 주어진 기기의 관리자 제어 기능을 설정해야 한다. 기본적으로 악성 계정이 최종 사용지 기기에 악성 RPA 처리 과정을 실행하도록 한다. 과거 보안이 취약해진 기기에서는 모든 해킹 과정을 새로운 관리자 계정에 제출하기만 한다. 간단한 명령 라인인 ‘사일런트 레지스트레이션(silent registration)’을 사용해 처리된다.
바거리는 “사일런트 레지스트레이션 이후 해커 세력이 기기에 자동화 툴을 전송하도록 하는 URL을 받는다”라고 설명했다. 바거리는 데프콘 컨퍼런스 현장에서 발표하기 전, 파워 오토메이트를 이용해 랜섬웨어 공격을 개시하면서 기기에 피해를 줄 방법을 보여주는 여러 가지 데모를 생성했다. 다른 데모는 해커 세력이 기기에서 인증 토큰을 탈취하는 방법을 보여준다. 바거리는 “신뢰할 수 있는 경로를 통해 기업 네트워크 외부로 데이터를 유출한다. 그리고 키보드 입력 내용을 추적하는 툴을 구축하고, 클립보드에서 정보를 손에 넣을 수도 있다. 브라우저 제어도 가능하다”라고 설명했다.
마이크로소프트 대변인은 자동화 툴의 공격 위험성을 대수롭지 않게 여기며, 해커 세력이 공격 과정에 자동화 툴을 악용하기 전 계정을 생성해야 한다는 부분을 지적했다. 마이크로소프트 대변인은 “바이러스 방지 보호 기능을 실행한 채로 완벽한 업데이트를 마친 기기에 자동화 툴 취약점으로 원격 보안 침입 공격을 개시하기 어렵다”라고 말했다. 이어서 “자동화 툴을 악용한 원격 공격은 시스템 보안이 이미 취약한 상태이거나 소셜 엔지니어링과 같은 기존 수법으로 보안이 취약해진 것으로 의심할 만한 이론상의 상황에 의존한다. 모두 초기 공격과 2차 공격으로 이어지는 상황을 가정한 것이다”라며, 시스템의 최신 버전 업데이트 상태를 유지하도록 권고했다.
바거리는 자동화 툴을 악용한 공격이 공식 시스템과 처리 과정을 사용하기 때문에 감지하기 어려운 공격 유형이라고 전했다. 그는 “아키텍처를 생각하면, 마이크로소프트가 개발한 뒤 모든 방법을 통해 제출한 원격 코드 실행에 해당한다”라고 언급했다. 바거리는 기업이 직면할 수도 있는 보안 문제에 대한 인식 제기를 돕고자 데모와 함께 공격 개시 단계를 공개했다.
바거리는 데프콘 컨퍼런스 참석 전 마이크로소프트 관계자에게 연락한 뒤 기업 네트워크 관리자가 개인 기기에 등록 시작점을 추가하면서 파워 오토메이트 툴 접근을 제한할 수 있다는 점을 지적했다. 파워 오토메이트에 제출할 수 있는 계정 유형을 제어할 수 있으므로 시스템 악용 위험성을 줄일 수 있다. 그러나 바거리는 해커 세력의 공격 성공 여부는 보안팀이 일관성이 있는 분명한 정책을 조직 전체에 적용하는 것에 의존한다고 덧붙였다. 그러나 기업이 항상 일관성과 명확함을 갖춘 보안 정책을 적용하지는 않는다.
RPA 툴의 인기가 증가하는 추세이지만, 항상 여러 플랫폼에서 악용하도록 설계된 실제 공격이 존재하기 마련이다. 일례로, 2020년 초반 마이크로소프트 보안팀은 중국 APT를 포함한 6개 해커 조직이 특정 기업의 네트워크에 잠입한 사례를 발견했다. 그중에는 데이터를 삭제할 의도로 자동화 시스템을 악용한 해커 조직도 있었다. 마이크로소프트는 사건 보고서를 통해 “보편적인 사례는 아니지만, 해커 세력이 e디스커버리(eDiscovery)와 컴플라이언스 서치(Compliance Search) 기능, 마이크로소프트 플로(Microsoft Flow) 등을 악용해 검색 결과 탈취를 자동화했다”라고 설명했다.
로우코드/노코드 애플리케이션에서 발생할 수 있는 위험성이 더 분명해진 가운데, 바거리는 기업의 보안 정책 재평가가 필요할 수도 있다고 전했다. 그는 “RPA 에이전트의 활동을 점검하는 것이 중요하다. 실제로 불과 몇 달 전까지는 모든 기업 사용자가 기업 기능으로 제공하는 바를 개발자에게만 공급한 뒤 모든 기능이 원활하게 실행되리라 기대했다”라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202209/4191_5562_424.jpg)
뉴스레터 신청