Offcanvas

보안 / 클라우드

'애저 AD'에 숨겨진 새로운 위험과 대응 방안은?

2022.09.06 Lucian Constantin  |  CSO
최근 ‘애저 AD(Azure Active Directory)’에서 입증된 것처럼, 하이브리드 클라우드 ID 및 액세스 관리 서비스는 네트워크 인증 프로세스에 복잡성과 공격 기회를 추가한다. 

로컬 윈도우 액티브 디렉토리 네트워크가 NTLM 릴레이 및 패스-해시 공격에 취약하다는 건 오랫동안 알려진 사실이다(NTLM 릴레이 및 패스-해시는 공격자가 네트워크를 통해 측면 이동하고, 추가 시스템 및 리소스에 액세스할 수 있는 공격이다). 이러한 공격 중 일부는 윈도우 네트워크 내부에서 사용되는 인증 프로토콜 설계를 악용하기 때문에 마이크로소프트의 소프트웨어 변경으로 간단히 패치할 수 없다. 기업은 더 엄격한 구성과 추가 제어를 포함하는 심층 방어 조치를 취해야 한다. 

네트워크 일부가 로컬이고, 다른 일부는 클라우드에 있는 하이브리드 네트워크 도입으로 기업들은 이제 ‘애저 AD’ 등의 서비스를 활용하여 다양한 시스템을 인증하고 있다. 하지만 애저 AD는 다른 프로토콜을 사용하고, 조직의 네트워크 가능성을 확장하는 새 기능이 있다는 점에서 로컬 AD와 상당히 다르다. 하지만 지난달 블랙햇 USA 보안 컨퍼런스에서 발표된 내용에 따르면 이는 공격자에게 새로운 가능성도 제공한다. 
 
ⓒGetty Images Bank

‘Pass-the-hash’에서 ‘Pass-the-certificate’로 
패스-더-해시(Pass-the-hash)는 해커가 손상된 시스템에서 로컬에 저장된 자격증명의 해시 버전을 추출하고, 이를 다른 시스템에 인증하는 데 사용하는 공격이다. NTLM 릴레이는 클라이언트와 서버 간 인증 요청을 가로채고, 둘 사이의 챌린지 및 응답을 릴레이하여 공격자가 클라이언트 대신 인증 받을 수 있도록 하는 방법이다. 이러한 공격 방식은 일반적으로 해커 그룹이 표적 공격을 할 때 사용된다. 

하지만 애저 AD는 윈도우 네트워크의 표준 인증 프로토콜인 NTLM 또는 커버로스(Kerberos)를 사용하지 않기 때문에 기존의 패시-더-해시 및 릴레이 공격이 통하지 않는다. 대신 오쓰(OAuth), SAML, 오픈ID(OpenID) 및 네고EX(NegoEX)라는 새로운 프로토콜을 사용한다. 이는 커버로스가 기반으로 하는 표준화된 GSSAPI(Generic Security Services Application Program Interface)의 확장이다. 

마이크로소프트의 연구원 모르 루빈에 따르면 네고EX는 애저 AD에 등록된 모든 기기에서 사용 가능하며, 여러 기기가 서로를 인증하는 메커니즘이다. 네고EX 인증 핸드셰이크는 각 사용자의 고유한 클라이언트 인증서를 활용하며, 이는 애저 AD에서 발급되고 1시간 동안 유효하다. 

블랫햇에서 루빈은 NTLM에서 수행하는 것과 유사한 방식으로 네고EX 핸드셰이크에서 릴레이 공격이 어떻게 성공적으로 수행될 수 있는지 시연했다. 그는 공격자가 유사한 방식을 사용하여 피어-투-피어 클라이언트 인증서를 얻은 다음, 해당 인증서를 사용하여 다른 컴퓨터에 인증하는 방법을 보여줬다. 즉, 사용되는 프로토콜이 달라도 NTML 릴레이 및 패스-더-해시와 동일했다.  

루빈은 일치하지 않는 IP 주소를 가진 클라이언트 이름에서 오는 인증 요청, 또는 요청이 오는 기기와 연결되지 않은 사용자에게 발급된 인증서를 통한 인증 요청의 경우 기업들이 애저 AD 기기에서 로그를 모니터링해야 한다고 권고했다. 

애저 AD에서 외부 ID 남용 
아웃사이더 시큐리티(Outsider Security)의 연구원 더크잔 몰레마는 블랙햇 컨퍼런스에서 로컬 AD 배포엔 없는 애저 AD만의 위협을 강조하며, 외부 ID 기능을 백도어 애저 AD 계정에 악용하는 방법을 시연했다

외부 ID는 기업이 외부 사용자에게 특정 리소스 액세스 권한을 부여할 수 있는 애저 AD의 기능이다. 해당되는 사용자는 다른 애저 AD 테넌트에 속하거나 외부 ID 공급자를 통해 인증되고 이메일 주소를 통해서만 식별될 수 있다. 이 기능은 외부 계약자와 협력할 때 그리고 구독을 관리하는 MSP에게 액세스 권한을 부여할 때 널리 사용된다. 

외부 사용자는 애저 AD 인터페이스를 통해 관리자 권한을 가진 사람이 초대할 수 있으며, 이렇게 하면 외부 사용자에게 이메일로 전송되는 초대장 링크가 생성된다. 몰레마는 AAD 그래프(AAD Graph)라고 하는 애저 AD의 API를 통해 프로그래밍 방식으로 초대장을 생성하고 수락할 수 있다는 문제를 발견했다고 밝혔다. 

또 API를 통해 이 기능과 상호작용할 때 많은 검사가 수행되지 않는 것으로 드러났다. 정리하자면 첫째, 애저 AI 테넌트 내의 모든 사용자는 API를 쿼리하고 아직 요청되지 않은 모든 초대장을 볼 수 있었다. 둘째, 모든 초대장을 유효성 검사 없이 API를 통해 사용할 수 있으며, 의도한 것과 다른 외부 계정에 연결할 수 있었다. 셋째, 관리자는 인터페이스를 통해 초대장이 도용됐다는 사실을 알거나 알릴 방법이 없었다. 

아울러 해당 공격은 애저 AD 테넌트에서 외부 협업이 허용되는 도메인 이름 목록을 우회할 수 있었다. 한 도메인의 이메일 주소에만 초대장이 생성됐지만 하이재킹으로 목록에 없는 도메인의 계정에도 연결할 수 있기 때문이다. 

이어 그는 AAD 그래프 대신 개발자용 마이크로소프트 API인 마이크로소프트 그래프(Microsoft Graph)에서 외부 ID가 어떻게 보이는지 분석하여, 적절한 권한이 주어지면 MS 그래프를 통해 ID와 관련된 일부 속성을 수정할 수 있다는 사실을 발견했다고 전했다. 이러한 속성 중 하나는 ID 공급자를 정의하는 발급자 속성이며, 사용 가능한 옵션 중 하나는 ‘메일’이다. 이는 이메일로만 식별되고, 아직 마이크로소프트 또는 애저 AD 계정이 없는 외부 사용자에게 활용된다. 

누가 이러한 속성을 수정할 수 있는지 살펴본 결과, 관리자 외에 사용자가 MS 그래프를 통해 자신의 ID를 수정할 수 있었다. 이는 공격자가 액세스 토큰을 훔치거나, 활성 세션이 있는 컴퓨터의 임시 액세스 권한을 얻어 기존 계정을 백도어링 하는 등의 공격 가능성을 열어 준다고 그는 덧붙였다. 관리자 계정이라면 외부 ID를 추가하고 공격자의 제어하에 있는 이메일 주소에 연결하여 모든 계정을 백도어링할 수도 있다고 몰레마는 언급했다. 

이게 문제가 되는 이유는 이러한 방식으로 ID를 수정하면 사용자 이름과 비밀번호에서 외부 이메일을 통한 인증으로 기본 인증 방법만 변경되기 때문이다. 하지만 계정에 다중요소인증(MFA)이 구성돼 있으면 공격자는 여전히 로그인할 수 없다. 

하지만 몰레마는 이에 관한 우회도 찾았다고 말했다. 그는 “첫째, 일시적으로 손상된 피해자 계정을 사용하여 공격자의 외부 계정 초대장을 생성했다. 그다음 공격자는 초대를 수락하여 피해자의 테넌트에서 게스트 계정을 생성했다. 이어 게스트 계정에 로그인해 MFA를 설정했다”라고 설명했다. 

이어서 “피해자 계정을 사용하여 게스트 계정을 삭제했다. 이렇게 하면 공격자의 외부 계정과 연결된 게스트 계정이 삭제되지만 캐시된 MFA 토큰은 지워지지 않는다. 따라서 공격자의 외부 계정은 게스트 계정이 없어지더라도 피해자의 애저 AD 테넌트에 활성 MFA 토큰을 계속 보유한다. 공격자는 피해자의 계정을 백도어하고 외부 계정을 ID로 추가할 수 있으며, 그러면 더 이상 MFA 인증 메시지가 표시되지 않는다. 이는 MFA 보호를 우회한다”라고 전했다. 

애저 AD 및 기타 클라우드 인증 취약점 완화
마이크로소트는 몰레마가 발견한 대부분의 문제를 이미 해결했기 때문에 위에서 언급된 공격들은 더 이상 작동하지 않는다. 하지만 그의 발견은 새로운 클라우드 환경에서 인증이 얼마나 복잡한지를 보여준다. 이메일 OTP를 ID 제공자 또는 외부 ID로 허용하는 것 등의 새로운 기능을 도입하면 항상 우회를 가능하게 하는 논리적 결함이 발생할 수 있다. 

몰레마는 갱신되지 않은 초대장이 있는 모든 게스트 계정을 정기적으로 제거하고, 게스트 초대 권한 및 게스트 액세스 설정을 잠그며, 외부 협업이 허용된 테넌트를 제한하고, 모든 앱에서 MFA를 시행하며, 게스트 계정 남용 가능성의 징후에 관해 액세스 로그를 추적하라고 권장했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.