통합 인증 시스템의 비밀 키 노리는 공격자들에 대항할 방법 있나?

SAML과 같은 통합 인증 시스템은 인증의 불편함을 간소화 해 주지만, 동시에 공격자들의 공격 효율도 높여 준다. 문제는 비밀 키가 한 곳에 있기 때문이라고 한 보안 팀이 블랙햇에서 발표했다.

[보안뉴스 문가용 기자] APT 공격자들은 언제나 피해자의 네트워크에 접근하게 해 주는 크리덴셜들을 노려 왔다. 이 크리덴셜만 있으면 최초 접근만이 아니라 횡적 움직임도 가능하게 되고, 심지어 지속적으로 드나들며 악성 행위를 할 수 있게 되기 때문에 크리덴셜 확보가 대단히 공격자들에게는 대단히 중요한 일이었다. 이 때문에 방어자들은 다중 인증과 같은 시스템을 도입해 크리덴셜 도난으로 야기되는 리스크를 줄이는 데 힘썼다. 하지만 다중 인증이라고 해서 물샐 틈 없는 보안을 약속하는 건 아니다.

[이미지 = utoimage]

이번 주 시작된 보안 행사 블랙햇 USA(Black Hat USA)에서 강연자로 나선 젠고(ZenGo)의 CEO 탈 비어리(Tal Be'ery)와 암호학 전문가인 마탄 하밀리스(Matan Hamilis)는 현대의 인증 시스템의 허와 실에 대해 심도 깊게 논했다. 그러면서 진짜로 중요한 정보를 안전하게 보호하는 새로운 방법론을 제시했다. 이들이 말하는 중요한 정보란, 케르베로스의 KRBTGT 혹은 SAML의 비밀 키 등을 말한다. 접근 토큰을 암호학적으로 안전하게 보호해 주는 요소들이다. 실제로 공격자들이 자주 노리기 시작한 것들이다.

비어리는 “현대의 기업들은 대부분 다양한 웹 서비스들을 여러 채널로 내보내고 있다”고 설명한다. “다양한 벤더사의 제품들이 활용되고, 각 서비스는 고유의 인증 시스템을 보유하고 있습니다. 한 마디로 너무 많은 인증 시스템이 한 조직 안에서 운영되는 복잡한 현상이 벌어지고 있는 것이죠. 싱글사인온을 할 수도 없고, 직원들이 일일이 비밀번호를 다르게 설정할 리도 없고, MFA의 사용법도 벤더마다 다르고요. 쉽게 말해 앱을 사용할 때마다 로그인을 새롭게 해야만 한다는 겁니다.”

비어리는 계속해서 “그런 상황에서 SAML은 보안을 좀 더 아이텐티티 위주로 가져가게 해 줌으로써 보안을 쉽고 강력하게 만든다”고 설명을 잇는다. “A라는 인물은 이제 SAML을 통한 로그인 한 번으로 여러 앱을 안전하게 사용할 수 있게 됩니다. 그렇기 때문에 SAML의 비밀 키가 갖는 가치가 크게 됩니다. 기업이 보호해야 할 핵심 정보 중 핵심이 되는 것이지요.”

공격자가 SAML 비밀 키를 훔치는 데 성공할 경우 공격자는 해당 조직에서 가짜 아이덴티티를 갖게 된다. 그럼으로써 공격자가 자신의 환경에서부터 피해자의 SAML로 접근할 수 있고, 이 SAML로부터 네트워크 내 다양한 장비와 요소들로 접근하는 것도 가능하게 된다. 인증 체제가 무용지물이 된다는 것이다. 심지어 모니터링을 아무리 열심히 해도 이런 공격자를 발견할 수 없다. 비어리는 “솔라윈즈(SolarWinds) 사태에서 발견된 선버스트(Sunburst) 멀웨어가 이런 식으로 심겼다”며 “SAML과 같은 중앙(통합) 인증 시스템에 대한 공격이 점점 늘어나고 있다”고 경고했다.

비어리는 “비밀번호 하나만 사용하면 이런 공격을 막을 수 없다”며 “다중 인증이 기본이 되어야 한다”고 설명하기 시작했다. “하지만 다중 인증은 도입이 상당히 까다롭습니다. 오래된 시스템들과의 호환성 문제도 있고, 다중 인증 때문에 업무의 플로우 자체가 바뀌어야 할 때도 있고요. 또한 SAML을 공략하는 공격자들은 비밀 키로 아이덴티티 자체를 새롭게 만들기 때문에 다중 인증이 있다고 막을 수 있는 것도 아닙니다.”

그렇다면 SAML의 비밀 키를 하드웨어 보안 모듈(HSM)로 보호하면 어떨까? 이론상 하드웨어 보안 모듈이 있으면 비밀 키에 대한 타인의 접근을 막을 수 있다. “하지만 어디까지나 이론 상의 이야기이고, 하드웨어 보안 모듈도 얼마든지 침해할 수 있습니다. 또한 하드웨어 보안 모듈은 지속적인 패치와 업그레이드가 어렵고, 확장성에 있어서는 불가능에 가까운 모습들을 보여줍니다. ‘이것이 정답이다’라고 하기에는 장점도 있고 단점도 있다는 것이지요. 그러나 하드웨어를 사용한 다중 인증과 비밀 키 보호가 진지하게 고려해 봄직한 선택지인 것도 맞습니다.”

그러면서 비어리는 이번 강연에서 전혀 다른 해결책을 제안했다. “여러 명이 비밀 키와 인증서에 서명을 하는 인증 시스템은 어떨까요? 각 토큰을 다수가 서명하도록 하는 것 말이죠. 그리고 서명자를 주기적으로 바꾸는 겁니다. 그러면 자연스럽게 표준도 바뀌게 되고, 서비스 제공 업자들도 인증과 보안에 직접 관여할 수 있게 됩니다. 한 마디로 비밀 키를 분산하여 저장 및 활용하도록 하는 것이죠. 임계 서명 방식(Threshold Signature Scheme, TSS)을 활용하는 것을 말합니다.”

비밀 키를 분산하여 여러 명이 바꿔가며 서명한다고 했을 때, 이제 키 하나 훔친다고 곧바로 위중한 침해 사고로 이어지지 않아도 된다. 서명과 관련된 프로토콜도 분산시킨다고 했을 때, 서명자들 간 확인 메시지가 오가는 것도 가능하게 된다. “공격자들로서는 한 지점만 노리는 게 아무런 효과를 갖지 못하게 되는 겁니다. 특정 네트워크의 SAML 비밀 키를 훔치려면 여러 단체로부터 같은 비밀 키를 훔쳐야 하는 상황을 맞닥트리는 것이죠. 현대 비밀 키 보안의 가장 큰 문제는 너무나 중요한 역할을 하는 요소가 단 한 곳에 저장되어 있다는 것입니다.”

3줄 요약
1. 로그인과 인증 과정이 난무하는 기업 환경. 때문에 SAML 같은 통합 시스템이 인기.
2. 하지만 공격자가 SAML 크리덴셜을 훔치면? 각종 인증 과정들을 무사히 통과할 수 있음.
3. 블랙햇에서 제안된 새로운 인증 방식 : 비밀 키의 분산 생성과 서명.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)