솔라윈즈 사태 일으킨 공격자들의 궁극적 목표는 클라우드

솔라윈즈 공격자들, 업데이트 인프라 감염시킨 후에는 SAML 키 생성
SAML 키 생성 후에는 인증 키 조작해 클라우드에 접근...클라우드가 최종 목표?

[보안뉴스 문가용 기자] 마이크로소프트(Microsoft)가 “솔라윈즈(SolarWinds) 공급망 공격을 주도했던 해커들의 최종 목표는 피해자들의 클라우드 내 자산들인 것 같다”는 조사 결과를 발표했다. 공격자들은 솔라윈즈의 업데이트 파일을 감염시킴으로써 선버스트(SUNBURST)를 유포한 후 피해자들을 조심스럽게 골라내고, 선택된 피해자들의 클라우드에 접속하려 한 것으로 보인다고 한다.

[이미지 = utoimage]

마이크로소프트는 자사 블로그에 “솔라윈즈 공급망 공격으로 공격자들이 최초 침투에 성공하고, 이를 통해 선버스트라는 백도어를 심은 후에는 자신들이 추가 공격을 감행할 표적들을 선택했다”고 설명했다. “조사를 통해 이 ‘추가 공격’이라는 것이 온프레미스 네트워크 내 정찰활동을 통해 클라우드 인프라로 옮겨가는 것과 관련이 높다는 것을 알아낼 수 있었습니다.”

이전부터도 MS와 NSA는 공격자들이 솔라윈즈 공급망을 통해 조직들에 침투한 뒤 SAML 토큰을 생성하는 것을 최종 목적으로 두고 움직인 것으로 보인다고 발표했었다. 공격자들은 SAML 토큰을 생성함으로써 가짜 인증 토큰을 만들 수 있고, 이를 통해 클라우드에도 접속할 수 있는 것으로 알려져 있다.

솔라윈즈 해킹 사태를 일으킨 공격자들은 제일 먼저 솔라윈즈의 오리온(Orion)이라는 플랫폼을 침투했다. 그런 후 백도어(선버스트)를 정상 DLL 파일에 주입했다. 감염된 DLL 파일을 업데이트 시스템을 통해 유포했다. 오리온 고객사들은 이를 정상 업데이트로 착각해 설치했고, 그 과정에서 선버스트가 광범위하게 심겼다. 선버스트는 설치된 후 C&C 서버와 연결되면서 시스템 정보를 송출했다.

이 정보를 바탕으로 공격자들은 표적을 골라냈다. 선택된 조직 내에서 공격자들은 권한을 상승시키고 횡적으로 움직였다. 이 움직임의 최종 목표는 SAML 서명 키를 훔치거나 관리자 권한을 취득하는 것이었다고 이전에 발표된 바 있다. 그리고 이 SAML 서명 키 탈취의 목적이 다름 아니라 클라우드로의 접속임이 MS의 발표로 드러났다.

MS가 공개한 공격자들의 상세 공격 절차는 다음과 같다.
1) 침해된 솔라윈즈 DLL을 사용해 백도어를 활성화시키고, 이 백도어는 공격자들이 원격에서 제어한다.
2) 이 백도어를 통해 공격자들은 크리덴셜을 훔치고 권한을 상승시키며 횡적으로 움직여 유효한 SAML 토큰을 생성하게 된다. 이 때 사용되는 방법은 다음과 같다.
2-1) SAML 서명 인증서를 훔친다
2-2) 기존의 신뢰 구조를 악용, 조작한다
3) 공격자가 생성한 SAML 토큰을 가지고 클라우드 자원에 접근한다. 접근 후에는 이메일을 유출시키기 위한 악성 행위들을 실시한다. 클라우드 지속 공격을 가능케 하기 위한 방법도 모색한다.

NSA 역시 이 사건과 관련된 여러 가지 발표를 진행했는데, 그러면서 비승인 클라우드 접근을 어렵게 하는 방법들을 소개하기도 했었다. 그 중에는 온프레미스 아이덴티티 및 클라우드 통합 서비스들에 대한 접근을 어렵게 만듦으로써 클라우드 접근 시도를 까다롭게 만들 수 있다는 내용도 포함되어 있었다.

NSA는 다음과 같은 실천 사항들을 권장하고 있다.
1) 다중 인증 적용
2) 크리덴셜을 저장하고 있는 앱들 중 불필요한 것들의 삭제
3) 오래된 인증 시스템과 데이터베이스 비활성화
4) FIPS가 인증한 하드웨어 보안 모듈 사용

이렇게 솔라윈즈 사태가 클라우드 쪽으로 급변해가자 CISA는 어제 클라우드 내 이상 행위를 탐지할 수 있게 해주는 무료 도구를 공개하기도 했다. 해당 도구는 애저(Azure)와 마이크로소프트 365 플랫폼에서만 작동하는 것으로, 깃허브를 통해 배포되고 있다.

3줄 요약
1. 솔라윈즈 사태, 현재까지 조사된 바로는 클라우드가 공격자들의 최종 목표.
2. 온프레미스 통해 크리덴설 취득해 클라우드로 넘어가는 공격, 예전에도 경고된 바 있었음.
3. 미국 정부 기관들, 클라우드 공격 훼방법과 클라우드 내 이상 행위 탐지 도구 무료로 배포 중.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)