Home > 전체기사

마이크로소프트 365의 보안기능, 당신보다 사이버 범죄자가 더 잘 알고 있다면?

  |  입력 : 2020-12-16 12:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
기본 탑재 기업용 서비스 보안기능 제대로 활용 못하는 경우 많아, 이 빈틈 노리는 공격 사례 증가
기술문서에 포함된 주요 보안기능 활성화해 컴플라이언스 강화하고, 임직원은 기본 보안수칙 지켜야


[보안뉴스 이상우 기자] ‘마이크로소프트 365(이하 MS 365)’는 오늘날 많은 기업에서 주로 쓰는 구독형 사무용 소프트웨어다. 온프레미스 버전인 ‘오피스 2019(혹은 2016, 2013 등)’와 달리 정기적으로 구독 비용이 필요하지만, 최신 기능이나 버전이 등장할 때마다 추가 비용 없이 이를 이용할 수 있는 것이 특징이다. 특히, 취약점 개선 등 주요 보안 업데이트에 대한 종료가 예정돼 있는 온프레미스 버전(고정 수명 주기 정책)과 달리, MS 365는 ‘최신 수명 주기 정책’을 통해 하드웨어 성능이나 운영체제 버전을 최신으로 유지할 경우 지속적으로 보안 업데이트에 대한 지원을 받을 수 있다.

[이미지=utoimage]


MS 365는 특히 클라우드를 기반으로 작동하는 만큼, 주요 문서를 팀원이나 협력사와 손쉽게 공유하는 등 원활한 협업을 진행할 수 있다. 이로 인해 MS 365 계정에 대한 보안은 기업 주요 보안 지점 중 하나다. 이 때문에 보안과 관련한 기능 역시 다수 제공하고 있으며, 이를 제대로 활용할 경우 대부분의 보안사고를 예방할 수 있다.

그런데, 최근 사이버 범죄자는 MS 365를 직접 사용하는 직장인보다 MS 365의 기능과 특징에 대해 더 많이 이해하고, 이를 악용한 사이버 공격을 펼치고 있다. 글로벌 IT 보안 전문 매체 다크리딩(DarkReading)에 따르면 많은 사용자가 MS 365의 보안 기능을 제대로 사용하지 않고 있으며, 오히려 사이버 범죄자가 이를 범죄에 악용하고 있다. 특히, 코로나19로 인한 비대면 업무가 확산되면서 이를 노리는 공격 역시 늘어나고 있는 추세다.

사이버 범죄자가 MS 365 플랫폼을 이용하는 방법을 몇 가지 소개하자면, 우선 ‘크리덴셜 스터핑’을 들 수 있다. 의외로 많은 사용자가 MS 365에서 기본 제공하는 2단계 인증(멀티팩터 인증)을 적용하지 않고 있으며, 공격자는 이를 통해 사용자 클라우드에 접근한다. 공격자는 MS 365 계정 정보를 알아내는 용도로 크리덴셜 스터핑을 쓰는 것이 아닌, 다른 서비스에서 유출된 계정 정보를 MS 365 로그인에 대입하는 방식을 쓰는 것으로 나타났다. 실제로 한국인터넷진흥원이 올해 실시한 설문조사에 따르면 다수의 직장인이 개인용 계정과 동일한 ID를 사용하는 사람이 전체 응답자의 26.46%며, 비밀번호까지 동일한 응답자는 전체의 8.08%다.

▲M365 로그인 화면[자료=마이크로소프트]


마이크로소프트의 경우 ‘윈도우 헬로(Windows hello)’라는 기능으로 보안을 강화했다. 이는 단순히 일반 사용자용 윈도우뿐만 아니라 클라우드를 기반으로 하는 기업용 서비스 MS 애저에도 적용할 수 있다. 사용자는 기존 ID/PW를 입력하는 대신, 얼굴인식, 지문인식 등 생체 인증, FIDO2 기반 장치, PC의 보안 영역(TPM, Trust Platform Module)에 저장한 PIN 등으로 자신의 계정에 접근할 수 있으며, ID/PW 등 계정 정보가 탈취돼도 ‘윈도우 헬로 로그인만 허용’ 등의 설정으로 보안을 강화할 수 있다.

IMAP, POP3, SMTP 등 윈도우 헬로를 적용하기 어려운 전통적인 프로토콜 역시 MS 365 계정을 알아내기 위한 공격 대상이 되고 있다. 일반적으로 웹 브라우저 등을 통해 로그인을 시도할 경우 비밀번호 재확인 메시지 및 입력횟수 초과 등으로 반복적인 작업이 어려운 반면, 오래된 프로토콜은 이러한 과정 없이 무차별 대입(브루트 포스) 공격도 가능하다. 이 때문에 기업은 ‘애저 액티브 디렉토리(Azure AD) 조건부 액세스’ 기능을 통해 사용자 신원, IP 정보, 접속에 사용한 기기와 애플리케이션, 위협행위 여부 등을 검증하고 정상적인 상황에서만 접근을 허용하는 ‘제로 트러스트’ 모델을 도입해야 한다.

▲애저 액티브 디렉토리 조건부 액세스 기능[자료=마이크로소프트]


마이크로소프트는 ‘OAuth 2.0’을 통해 MS 365 계정을 각종 외부 서비스와 손쉽게 연결할 수 있도록 하고 있다. OAuth 프로토콜 연결은 쉽게 말해 ‘네이버 아이디로 로그인’ 같은 싱글 사인 온 기능이다. 마이크로소프트는 자사의 주요 앱뿐만 아니라 기타 외부 업무용 서비스에도 이 계정을 이용할 수 있도록 API를 공개하고 있다.

해커가 노리는 것은 여기서 발생하는 빈틈이다. MS 365 계정을 이용하는 마이크로소프트 애플리케이션과 서비스를 직접 노리는 것은 상대적으로 어렵다. 이 때문에 공격자는 OAuth를 기반으로 하는 가짜 애플리케이션을 제작하고, 지나치게 많은 권한을 요구한 뒤 지속적으로 계정에 접근하는 방식을 택한다. 일반적인 피싱 사이트를 이용해 ID/PW를 탈취할 경우, 2단계 인증이 설정돼 있다면 해당 정보로 로그인을 할 수 없다. 이와 달리 OAuth 프로토콜을 악용해 만든 가짜 서비스의 경우 사용자가 연결을 끊기 전까지는 로그인 상태가 유지되며, 2단계 인증도 필요 없다.

이러한 문제에 대응하기 위해서 기업은 사전 승인한 특정 서비스에 대해서만 OAuth 2.0 연결을 쓸 수 있도록 설정하고, 게시자 확인(Publisher Verification) 기능을 통해 인증되지 않은 서비스 제공자의 앱에는 이 기능을 사용할 수 없도록 해야 한다.

▲인증된 서비스 제공자를 표시하는 마크와 제공 정보[자료=마이크로소프트]


공격자는 원하는 자료를 찾기 위해 사용자 편의 기능도 악용한다. MS 365 계정을 탈취해 서비스에 침투한 공격자는 보안 및 컴플라이언스 센터에 포함된 e디스커버리 기능을 통해 MS 팀즈, 쉐어포인트, 원드라이브, 익스체인지 서버 등 각종 애플리케이션에서 필요한 데이터에 빠르게 접근해 탈취할 수 있다. 이 때문에 기업은 e디스커버리 관련 도구를 사용할 때, ‘e디스커버리 관리자’ 기능을 통해 적절한 권한을 가진 사용자만 콘텐츠 위치나 검색 결과를 볼 수 있도록 설정해야 한다.

앞서 언급한 공격 사례는 대부분 기업용 MS 365 서비스에서 기본적으로 제공하고 있는 보안 기능을 제대로 활용한다면 대부분 예방할 수 있는 공격이다. 따라서 MS 365를 도입한 기업은 해당 서비스가 어떤 보안 기능을 제공하는지 잘 파악하고, MS가 제공하는 기술문서를 잘 파악해 이를 적용할 수 있어야 한다. 또한, 임직원 역시 윈도우 헬로처럼 상대적으로 보안이 우수한 로그인 기능을 선택하고, 알 수 없는 이메일의 URL이나 첨부파일에 접근하지 않는 등 기본적인 보안수칙을 준수해야 한다. 아무리 철저한 보안 시스템을 갖추더라도 인간의 작은 실수 하나로 침해사고가 발생할 수 있다는 점을 명심할 필요가 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야