본문 바로가기 주메뉴 바로가기 검색 바로가기
클라우드 결함, 중국 첩보 요원에게 마이크로소프트 왕국의 핵심 정보 전달하게 된 과정은?
상태바
클라우드 결함, 중국 첩보 요원에게 마이크로소프트 왕국의 핵심 정보 전달하게 된 과정은?
마이크로소프트는 해커 세력이 수단을 가리지 않고 자사 네트워크에서 접근한 것으로 추정되는 암호화 키를 탈취하여 사용자 신원을 위조하고, 클라우드 방어를 우회했다고 발표했다.
By ANDY GREENBERG, WIRED US

대다수 IT 전문가에게 클라우드로의 전환은 예상치 못한 희소식이다. 개인 데이터를 직접 보관하는 대신 구글이나 마이크로소프트 보안 전문가가 데이터를 보호하도록 하기 때문이다. 그러나 탈취된 키 하나로 해커 세력이 수십 개 기관의 클라우드 데이터에 접근할 수 있다면, 편리함을 대가로 클라우드를 선택하는 것이 훨씬 더 위험한 선택처럼 들릴 것이다.

2023년 7월 11일 저녁(현지 시각), 마이크로소프트는 중국 해커 세력 ‘스톰-0558(Storm-0558)’이 클라우드 보안 허점을 이용해 해킹 공격을 개시했다고 발표했다. 서유럽 정부 감시 작전에 주력하는 스톰-0558은 다수 정부 기관을 포함한 클라우드 기반 아웃룩 이메일 시스템에 접근했다.

CNN은 스톰-0558의 공격 대상 중에는 국무부 등 미국 정부 기관도 포함되었다고 보도했으나 미국 관료는 전체 공격 범위와 해킹 피해를 확인하기 위한 작업을 진행 중이라고 발표했다. 미국 사이버보안 및 인프라 보안국(CISA) 고문은 2023년 6월, 미국 정부 기관 시스템에서 소수 계정이 비공개 이메일 데이터가 탈취한 사실이 감지되었다고 밝혔다.

중국은 수십 년 동안 서양 세계 네트워크를 대상으로 무차별 공격을 개시했다. 그러나 이번 공격은 다음과 같은 독특한 속임수를 동원했다. 마이크로소프트은 해커 세력이 사용자 신원을 입증하는 일련의 정보인 자체 인증 토큰을 생성하는 암호화 키를 탈취해, 마이크로소프트 고객사 계정 수십 개를 대상으로 관리 권한을 손에 넣었다고 발표했다.

전직 미국 국가안전보장국(NSA) 해커였던 보스턴 응용 네트워크 보안 연구소(Institute for Applied Network Security) 강사인 제이크 윌리엄스(Jake Williams)는 “여권 정보를 신뢰하지만, 간혹 여권 인쇄 기계 탈취 피해가 발생한다. 마이크로소프트와 같은 대기업을 겨냥한 공격은 상당수 고객사에도 피해가 이어질 위험성이 있거나 이미 피해가 발생했을 수도 있다. 전례 없는 일이다”라고 말했다.
 
[사진=Freepik]
[사진=Freepik]

웹 기반 클라우드 시스템에서 사용자의 브라우저는 원격 서버에 연결하며, 사용자 이름과 패스워드 등 신원 정보를 입력할 때는 연결하는 서버에서 ‘토큰’이라는 일종의 데이터를 받는다. 토큰은 사용자가 클라우드 환경 한에서 만족하며 드나들 수 있는 임시 신분증 역할을 한다. 그와 동시에 재접속 시 가끔 신원 정보를 요구하기도 한다. 토큰이 복제될 수 없도록 클라우드 서버가 점유하는 인증서나 키라는 이름으로 알려진 고유 일련의 데이터와 함께 암호화 서명이 적용된다. 일종의 사본 생성이 불가능한 인증 정보이다.

마이크로소프트는 중국 아웃룩 해킹 공격 발생 사실을 밝힌 공식 블로그 게시글에서 인증 시스템이 2단계에 걸친 공격을 당했다고 설명했다. 첫 번째 단계에서 해커 세력은 어떠한 방법이 되었든 마이크로소프트가 소비자 단계 사용자의 클라우드 서버용 토큰 서명 시 사용하는 키를 탈취했다. 다음 단계에서는 마이크로소프트의 토큰 인증 시스템 버그를 악용했다. 이 과정에서 해커 세력은 탈취한 키로 소비자 단계 토큰에 서명하고는 기업 등급 시스템에 접근하는 데 사용했다. 모두 마이크로소프트가 다른 등급의 키에서 생성된 서명을 확인하는 데도 발생했다.

마이크로소프트는 현재 탈취된 키로 서명한 모든 토큰을 차단하고, 새로운 키로 대체하면서 해커 세력이 피해자 시스템에 접근하지 못하도록 조처를 한 상태이다. 마이크로소프트는 암호화 키 탈취 이후 키 관리 시스템 보안 강화 노력을 펼치고 있다는 점도 덧붙여 전했다.

그러나 키의 민감성과 해커 세력의 접근 범위 관련 정확한 정보 모두 처음부터 탈취된 과정이 밝혀지지 않은 상태이다. 와이어드는 마이크로소프트에 해당 문제를 문의하려 연락했으나 마이크로소프트는 추가 정보 공개를 거부했다.

마이크로소프트가 추가로 공개한 정보가 없는 상황에서 보안 기업 아스트릭스(Astrix) 연구 책임자 탈 스크버러(Tal Skverer)는 암호화 키 탈취 발생 가능성 중 하나로 토큰 서명 키가 사실, 마이크로소프트에서 탈취된 것이 아닐 가능성을 제시했다. 아스트릭스는 2023년 초, 구글 클라우드의 토큰 보안 문제를 발견한 기업이다. 오래된 아웃룩 설정 환경에서 아웃룩 서비스는 마이크로소프트 클라우드가 아닌 고객 소유 서버에서 호스팅과 관리를 모두 담당한다. 바로 해커 세력이 고객 네트워크의 구축형(on-premise) 설정에서 키를 탈취할 수 있었던 원인이 될 수 있는 부분이다.

스크버러는 해커 세력이 버그를 악용하여 엔터프라이스 토큰에 서명하여 25개 기관 모두 공유하는 아웃룩 클라우드 인스턴스에 접근하게 되었을 것이라고 추가로 설명했다. 그는 “피해 기관 중 한 곳이 소유한 단일 서버에서 해킹이 시작되었을 가능성이 가장 유력하다. 그리고 검증 오류를 악용하여 클라우드에 접근하고는 같은 아웃룩 인스턴스를 공유하는 더 많은 기관에 접근했을 수도 있다”라고 전했다.

그러나 스크러버가 제시한 가능성은 엔터프라이스 네트워크 내부의 마이크로소프트 서비스의 구축형 서버에서 마이크로소프트가 고객 계정 토큰 서명을 의도했다고 설명한 키를 사용한 이유를 설명하지 못한다. 미국 정부 기관 여러 곳을 포함한 수많은 기관이 아웃룩 클라우드 인스턴스 하나를 공유하는 이유를 설명하기에도 부족하다.

암호화 키 탈취에 성공했을 또 다른 가능성으로 해커 세력이 마이크로소프트를 속여 새로운 키를 발행하도록 유도하거나 암호화 키를 생성하는 암호화 과정의 실수를 악용하여 재생성하는 등 마이크로소프트 자체 네트워크에서 탈취한 토큰 서명 키를 이용했을 가능성을 제시할 수 있다. 스크러버가 추측한 가능성보다 더 문제가 되는 상황이다. 마이크로소프트가 설명한 토큰 검증 버그도 고려하면, 모든 아웃룩 클라우드 계정이나 개인 계정, 엔터프라이스 계정 접근용으로 토큰 서명을 하는 데 이용했을 가능성을 추측할 수 있다. 매우 넓은 범위의 고객 계정 접속 혹은 마이크로소프트 클라우드에도 토큰 서명을 하는 핵심 키를 이용했다는 의미이다.

유명한 웹 보안 연구원인 로버트 R스네이크 한센(Robert RSnake Hansen)은 마이크로소프트의 블로그 게시글에서 키 관리 시스템 보안 강화를 언급한 내용을 읽고, 중국 해커 세력이 어떤 방법이 되었든 마이크로소프트의 인증 권한을 해킹했을 것임을 시사하는 바라고 해석했다. 키 관리 시스템은 암호화 서명 토큰의 키 생성을 위한 마이크로소프트의 자체 시스템을 지칭한다. 한센은 “마이크로소프트의 인증 권한 인프라나 구성에 결함이 있어, 기존 인증 과정에서 보안 침해가 발생하거나 새로운 인증을 생성했을 확률이 매우 높다”라고 주장했다.

윌리엄스는 해커 세력이 실제로 고객 계정에 대대적으로 토큰을 생성할 수 있는 서명 키를 탈취하지 않고, 실제 피해자는 마이크로소프트가 공개한 25개 기관보다 더 많을 수도 있다는 점도 경고했다. (이때는 마이크로소프트의 토큰 검증 문제 영향으로 엔터프라이스 계정에서도 토큰을 생성하는 서명 키 탈취가 발생하지 않았을 것이다.)

마이크로소프트는 소비자 등급 키로 서명된 토큰을 확인하여 피해 기업을 찾을 수 있다. 하지만 키는 소비자 등급 토큰 생성에도 사용되었을 수도 있다. 토큰이 생성 단계에서 의도한 키에 서명되었을 가능성을 고려하면, 실제 피해 기관을 찾는 것이 훨씬 더 어려워질 수 있다. 윌리엄스는 “소비자 등급 토큰을 보면, 피해 기관을 어떻게 알아낼 수 있는가?”라는 질문을 던지며, “마이크로소프트는 이를 논의하지 않았다. 이에, 투명성 강화를 기대해야 한다고 생각한다”라고 말했다.

마이크로소프트가 최근 밝힌 중국 해커 세력의 공격 이전에도 국가 산하 해커 세력이 토큰을 이용하여 피해 기관 시스템 침입이나 접근 권한을 넓힌 사례가 보고되었다. 이미 솔라윈즈 공급망 공격을 개시한 것으로 악명 높은 러시아 해커 세력도 피해자 시스템에서 마이크로소프트 토큰을 탈취하고, 이를 네트워크의 다른 곳에서 이용해 민감한 시스템 접근 범위를 유지하거나 확장한 것으로 알려졌다.

IT 관리자에게 가장 최근 보고된 중국 해커의 공력을 중심으로 암호화 키 탈취 공격은 실제 클라우드 이관 시 몇 가지 장점을 위해 포기해야 할 사항이 있다는 부분을 시사한다. 마이크로소프트와 사이버 보안 업계 관계자 대부분 클라우드 기반 시스템으로 이관하여 중소기업의 자체 시스템이 아닌 테크 업계 대기업이 보안 관리를 담당하는 방안을 권고했다. 그러나 중앙화 시스템에도 취약점이 있으며, 심각한 여파가 발생할 수 있다.

윌리엄스는 “마이크로소프트의 클라우드로 이관하면, 키를 마이크로소프트 왕국에 건넨다. 이를 탐탁지 않게 생각한다면, 강력한 보안을 위한 좋은 방안이 없다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
How a Cloud Flaw Gave Chinese Spies a Key to Microsoft’s Kingdom
이 기사를 공유합니다
RECOMMENDED