MS의 윈도우 헬로, 공식 매뉴얼 없어 사실상 ‘블랙박스’

윈도우 헬로가 “차세대 인증 시스템”이라며 1년 동안 연구한 보안 전문가
“공식 설명서 없어 정보 얻기 힘들었다”며 블랙박스로 남겨지는 것에 대해 경고

[보안뉴스 문가용 기자] 마이크로소프트의 윈도우 헬로 포 비즈니스(Windows Hellow for Business)에서 새로운 공격 경로가 여러 개 발견됐다. 이 중에는 현재 보안 도구들로는 탐지가 불가능한 것들도 포함되어 있다고 한다.

[이미지 = iclickart]

윈도우 헬로 포 비즈니스(이하 WHfB)는 윈도우 10과 윈도우 서버 2016에 처음 도입된 기능으로, 비밀번호 없이 액티브 디렉토리(Active Directory) 기반의 환경에 안전하게 접속할 수 있도록 해준다. 즉 비밀번호 탈취로 인한 계정 장악의 위험성을 크게 낮춰준다. 일반적인 산업 표준들로 꼽히는 Kerberos PKINIT, JWT, WS-Trust, FIDO2 등을 기반으로 만들어져 있으며, TPM 키 증명이나 토큰 바인딩과 같은 암호화 기술에 높은 의존도를 가지고 있다.

IT 보안 전문가인 마이클 그라프네터(Michael Grafnetter)는 WHfB를 처음 만나 큰 감동을 받았고, 내부 원리를 보다 더 깊이 이해하고 싶어 여러 가지 연구를 진행했다고 한다. 그러다가 윈도우 상에서 WHfB가 기능을 발휘하는 것에 대한 공식 문건이 존재하지 않는다는 것을 알게 됐다. “즉, WHfB가 일종의 블랙박스와 같은 존재로서 자리하고 있다는 뜻입니다. 관리자, 보안 감사자, 침투 테스터 등 아무도 그 안을 들여다볼 수 없는 겁니다.”

그런 점을 알아차리고는 실망감이 들었다. “그것만이 아니었습니다. 윈도우가 어떤 방식으로 비밀번호를 저장하는지, 비밀번호를 어떻게 암호화 하는지 등 여러 윈도우 보안 기능들에 대한 공식 문건도 없었습니다. 그러니까 소비자는 윈도우에 대해 MS가 하는 말만 믿고 가야 한다는 겁니다.”

그래도 그라프네터는 계속해서 연구를 진행했다. 그러면서 지난 1년을 꼬박 WHfB를 연구하고 분석하는 데 할애했다. 그 연구 결과는 얼마 후 열릴 블랙햇 유럽(Black Hat Europe)에서 온전히 공개될 예정이다. 특히 그가 발견한 세 가지 공격 경로들에 대해 심층적인 소개가 이뤄질 것이라고 한다. 세 가지 중 하나는 MS가 수정했고, 하나는 검토 중에 있다.

공격 경로 중 하나는 액티브 디렉토리에 새롭게 추가된 특성과 관련이 있다고 한다. 이 특성은 msDS-KeyCredentialLink로, 윈도우 헬로, FIDO2, 비트로커 드라이브 암호화(BitLocker Drive Encryption)과 관련된 데이터를 저장한다. 액티브 디렉토리에 등록된 장비들에 대한 인증 레퍼런스도 여기에 저장된다. “공격자가 남용하기에 좋은 요소입니다. 게다가 비교적 새롭게 추가된 것이라 연구가 덜 되어 있다는 장점도 있죠.”

연구가 덜 되어 있다는 건 이 부분을 제대로 이해하고 있는 사람이 드물고, 따라서 문제를 어디서부터 어떻게 발견해야 하는 건지, 어떻게 해결해야 하는 건지 보안 업계 내에서도 널리 알려지지 않았다는 뜻이다. “연구를 진행하면서 여러 액티브 디렉토리 전문가들을 만나봤는데, 솔직히 액티브 디렉토리나 WHfB의 작동 원리를 정확히 이해하고 있는 사람은 거의 없었습니다.”

그라프네터는 “WHfB를 매일처럼 사용하지 않는 조직이라고 해도, 이번에 발표될 주요 특성들을 점검하고, 관리자 계정에서 의외의 변화나 변수가 발견될 경우 즉시 위험 상황을 상정하고 조치를 취해야 한다”고 주장한다.

현재 msDS-KeyCredentialLink와 관련된 문건은 하나도 존재하지 않는다. AD 스키마(AD Schema)라는 문서에 “키 및 사용에 필요한 정보들이 저장되어 있는 특성”이라고만 나와 있을 뿐이다. 그라프네터는 “사실이긴 하지만, 충분히 설명되어 있지 않다”고 주장한다. “여기에 저장된 정보나 데이터의 특성을 생각했을 때 더 상세한 문건이 발행되어야 할 겁니다. 이 요소를 보다 깊이 이해할수록 악성 행위를 손쉽게 파악할 수 있습니다.”

그 외에 WHfB에 대한 그라프네터의 평은 후한 편이다. “WHfB는 인증의 미래가 될 가능성이 높아 보입니다. 마이크로소프트가 방향을 제대로 잡았다고 생각합니다. 다만 이렇게 부족한 부분이 부각되었을 때 충분히 보충을 해야 하겠지만요.” 현재 그러프네터는 이런 요소들을 자동으로 점검하고 가시성을 높여주는 툴을 개발하고 있다. 블랙햇 행사에 맞춰 공개할 예정이다.

3줄 요약
1. 새로운 인증 시스템 윈도우 헬로에서 새로운 공격 경로 발견됨.
2. 하지만 윈도우 헬로에 대한 상세 문건 존재하지 않아 접근 및 이해가 어려움.
3. 새로운 기능들 나올 때 제대로 된 문서 같이 나오지 않으면 블랙박스로 남게 됨.
[국제부 문가용 기자(globoan@boannews.com)]

코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
	랜섬웨어
	피싱/스미싱
	스피어피싱(표적 공격)/국가 지원 해킹 공격
	디도스 공격
	혹스(사기) 메일
	악성 앱
	해적판 소프트웨어
	기타(댓글로)