Offcanvas

������

깃허브, 유출된 오쓰(OAuth)로 인해 개인 저장소 해킹당했다고 밝혀

세일즈포스 산하의 PaaS 업체 헤로쿠(Heroku)와 깃허브(GitHub)에 따르면 손상된 오쓰(OAuth) 사용자 토큰이 헤로쿠와 지속적인 통합 및 테스트 서비스 트래비스 CI(Travis CI)를 쓰는 조직의 개인 리포지토리 데이터를 다운로드하는 데 악용됐다.    깃허브는 깃허브 시스템 자체가 해킹돼 오쓰 토큰이 유출됐을 가능성은 낮다고 밝혔다. 문제가 된 오쓰 토큰은 깃허브에서 사용 가능한 포맷으로 저장되지 않기 때문이다. 이는 인증을 위해 오쓰 프레임워크를 사용하는 헤로쿠와 트레비스 CI의 애플리케이션에서 가져왔을 가능성이 크다고 회사 측은 설명했다. 4월 15일(현지 시각) 깃허브는 5개의 오쓰 애플리케이션이 영향을 받았다고 전했다. 4가지 버전의 헤로쿠 대시보드(ID 145909, 628778, 313468, 363831)와 트레비스 CI(ID 9261)다.  세일즈포스는 지난 수요일 깃허브의 통지를 받은 이후 손상된 오쓰 토큰과 해당 토큰의 출처 계정을 비활성화했다고 말했다. 헤로쿠는 공식 블로그에서 “깃허브가 공유한 정보를 바탕으로 위협 행위자가 어떻게 고객 오쓰 토큰에 접근했는지 조사하고 있다”라면서, “손상된 토큰은 위협 행위자에게 고객 깃허브 리포지토리의 액세스 권한을 제공했지만 고객 헤로쿠 계정 액세스 권한은 제공하지 않았을 수 있다”라고 언급했다.  헤로쿠는 영향을 받은 제품의 사용자에게 데이터 도난의 증거가 있는지 즉시 깃허브 로그를 검토하고, 의심스러운 활동이 감지되면 세일즈포스 보안팀에 연락하라고 촉구했다. 또 문제가 해결될 때까지 헤로쿠로 연결된 애플리케이션은 깃허브 리포지토리에서 연결을 끊고, 노출된 자격증명을 취소하거나 교체해야 한다고 권고했다. 4월 17일 게시된 가장 최근 업데이트에 의하면 세일즈포스는 모든 오쓰 토큰을 해지했다. 세일즈포스에 따르면 토큰 취소는 새 토큰을 발행할 수 있을 때까지 깃허브에서 헤로쿠 대시보드로 새로운 앱을 배포할 수 없다는 것을 의미한다. ...

깃허브 리포지토리 저장소 오쓰 헤로쿠 세일즈포스

2022.04.19

세일즈포스 산하의 PaaS 업체 헤로쿠(Heroku)와 깃허브(GitHub)에 따르면 손상된 오쓰(OAuth) 사용자 토큰이 헤로쿠와 지속적인 통합 및 테스트 서비스 트래비스 CI(Travis CI)를 쓰는 조직의 개인 리포지토리 데이터를 다운로드하는 데 악용됐다.    깃허브는 깃허브 시스템 자체가 해킹돼 오쓰 토큰이 유출됐을 가능성은 낮다고 밝혔다. 문제가 된 오쓰 토큰은 깃허브에서 사용 가능한 포맷으로 저장되지 않기 때문이다. 이는 인증을 위해 오쓰 프레임워크를 사용하는 헤로쿠와 트레비스 CI의 애플리케이션에서 가져왔을 가능성이 크다고 회사 측은 설명했다. 4월 15일(현지 시각) 깃허브는 5개의 오쓰 애플리케이션이 영향을 받았다고 전했다. 4가지 버전의 헤로쿠 대시보드(ID 145909, 628778, 313468, 363831)와 트레비스 CI(ID 9261)다.  세일즈포스는 지난 수요일 깃허브의 통지를 받은 이후 손상된 오쓰 토큰과 해당 토큰의 출처 계정을 비활성화했다고 말했다. 헤로쿠는 공식 블로그에서 “깃허브가 공유한 정보를 바탕으로 위협 행위자가 어떻게 고객 오쓰 토큰에 접근했는지 조사하고 있다”라면서, “손상된 토큰은 위협 행위자에게 고객 깃허브 리포지토리의 액세스 권한을 제공했지만 고객 헤로쿠 계정 액세스 권한은 제공하지 않았을 수 있다”라고 언급했다.  헤로쿠는 영향을 받은 제품의 사용자에게 데이터 도난의 증거가 있는지 즉시 깃허브 로그를 검토하고, 의심스러운 활동이 감지되면 세일즈포스 보안팀에 연락하라고 촉구했다. 또 문제가 해결될 때까지 헤로쿠로 연결된 애플리케이션은 깃허브 리포지토리에서 연결을 끊고, 노출된 자격증명을 취소하거나 교체해야 한다고 권고했다. 4월 17일 게시된 가장 최근 업데이트에 의하면 세일즈포스는 모든 오쓰 토큰을 해지했다. 세일즈포스에 따르면 토큰 취소는 새 토큰을 발행할 수 있을 때까지 깃허브에서 헤로쿠 대시보드로 새로운 앱을 배포할 수 없다는 것을 의미한다. ...

2022.04.19

칼럼 | 소모적인 인증 개발 '암흑시대' 끝이 보인다

메시지 또는 영상 통화 기능은 트윌리로(Twilio)로 실행할 수 있다. 신용카드 결제 처리는 스트라이프(Stripe)로 해결된다. 머신러닝 모델 실행 또는 컴퓨터 리소스 확장이 필요하거나 팟캐스트를 비롯한 수백 가지 다른 서비스의 기록이 필요하다면 클라우드 제공업체를 통한 API만 있으면 된다. 반면, 해당 애플리케이션에서 사용자에게 권한을 부여하거나 거부하는 일은 만만치 않다.   허가 기능은 (인증 기능과 더불어) 앱 개발자에게 가장 기본적으로 필요한 것에 속하지만 이를 실행하는 일은 여전히 엄청난 골칫거리다. 랜달 데게스가 “필자가 웹사이트와 모바일 앱, API 서비스의 인증 및 허가 기능을 구축하려고 할 때마다 막막하지 않은 적이 거의 없었다”라고 지적한 것이 2017년인데, 2021년에도 사정은 마찬가지다. 오소(Oso)는 상황이 개선될 것으로 자신한다. 최근 세쿼이아(Sequoia) 시리즈 A 펀딩을 받은 이 업체는 개발자가 빠르게 허가 기능을 사용할 수 있도록 라이브러리와 사전 구축 통합 기능을 제공하는 한편, 개발자가 필요에 따라 얼마든지 수정할 수 있는 폴라(Polar) 정책 언어를 내장해 제공한다. 오소 CEO 그래함 네레이는 한 인터뷰에서, 허가 기능이 “소프트웨어에서 개별화 또는 추상화가 필요한 다음 계층”이라고 말했다. 필자 역시 동의하며 이와 같은 개발자의 근본적인 고충을 해결하는 기업이 큰 성공을 거둘 가능성이 높다고 생각한다.   허가 기능 구현의 어려움 데게스가 2017년에 지적한 내용은 구체적으로 다음과 같다.   “사용자 등록과 로그인을 지원하는 간단한 웹사이트를 구축하려고 해도 여전히 하급 허가 개념을 알고 이해해야 한다. 또한, 애플리케이션에서 가장 중요한 데이터인 사용자 개인정보를 보호하기 위해 이러한 개념을 안전하고 안정적으로 구현해야 한다. 내가 무슨 프로그래밍 언어를 사용하든 마찬가지다. 결과적으로 미션 크리티컬하고 고도로 민감한 정보를 다루며 잘못하면 큰 사업 손실을 초래할 수 ...

인증 오소 Oso 오쓰 OAuth

2021.03.26

메시지 또는 영상 통화 기능은 트윌리로(Twilio)로 실행할 수 있다. 신용카드 결제 처리는 스트라이프(Stripe)로 해결된다. 머신러닝 모델 실행 또는 컴퓨터 리소스 확장이 필요하거나 팟캐스트를 비롯한 수백 가지 다른 서비스의 기록이 필요하다면 클라우드 제공업체를 통한 API만 있으면 된다. 반면, 해당 애플리케이션에서 사용자에게 권한을 부여하거나 거부하는 일은 만만치 않다.   허가 기능은 (인증 기능과 더불어) 앱 개발자에게 가장 기본적으로 필요한 것에 속하지만 이를 실행하는 일은 여전히 엄청난 골칫거리다. 랜달 데게스가 “필자가 웹사이트와 모바일 앱, API 서비스의 인증 및 허가 기능을 구축하려고 할 때마다 막막하지 않은 적이 거의 없었다”라고 지적한 것이 2017년인데, 2021년에도 사정은 마찬가지다. 오소(Oso)는 상황이 개선될 것으로 자신한다. 최근 세쿼이아(Sequoia) 시리즈 A 펀딩을 받은 이 업체는 개발자가 빠르게 허가 기능을 사용할 수 있도록 라이브러리와 사전 구축 통합 기능을 제공하는 한편, 개발자가 필요에 따라 얼마든지 수정할 수 있는 폴라(Polar) 정책 언어를 내장해 제공한다. 오소 CEO 그래함 네레이는 한 인터뷰에서, 허가 기능이 “소프트웨어에서 개별화 또는 추상화가 필요한 다음 계층”이라고 말했다. 필자 역시 동의하며 이와 같은 개발자의 근본적인 고충을 해결하는 기업이 큰 성공을 거둘 가능성이 높다고 생각한다.   허가 기능 구현의 어려움 데게스가 2017년에 지적한 내용은 구체적으로 다음과 같다.   “사용자 등록과 로그인을 지원하는 간단한 웹사이트를 구축하려고 해도 여전히 하급 허가 개념을 알고 이해해야 한다. 또한, 애플리케이션에서 가장 중요한 데이터인 사용자 개인정보를 보호하기 위해 이러한 개념을 안전하고 안정적으로 구현해야 한다. 내가 무슨 프로그래밍 언어를 사용하든 마찬가지다. 결과적으로 미션 크리티컬하고 고도로 민감한 정보를 다루며 잘못하면 큰 사업 손실을 초래할 수 ...

2021.03.26

'오쓰' 이용하는 클라우드 기반 공격을 막는 방법

최근 멜웨어바이츠(Malwarebytes)의 발표에 따르면, 솔라윈즈(SolarWinds) 공격자들이 멜웨어바이츠의 내부 이메일에 접근했다고 한다. 이때 이용한 침입 벡터는 다른 공격에서 사용한 것과 같은 침입 벡터로, 마이크로소프트 오피스 365 및 애저 환경에 대한 권한있는 접근으로 애플리케이션을 악용하는 것으로 보인다. 멜웨어바이츠 관계자는 “조사 결과 공격자가 이용한 것은 한정된 내부 회사 이메일 일부에 접근하게 해 주는 오피스 365 테넌트 내 휴면 이메일 보호 제품 것으로 나타났다”라고 밝혔다. 공격 순서를 볼 때 오쓰(OAuth)를 통한 서드파티 사이트의 승인 공유를 최종 사용자가 허가하도록 속이는 수법이 동원된 것으로 보인다.   오쓰 2.0은 토큰 기반 인증 및 허가 승인 표준으로, 사용자의 비밀번호를 직접 노출시키지 않고 애플리케이션이 승인을 받도록 해 준다. 이렇게 링크를 통해 연결하면 서드파티 제품에 의도한 것보다 더 많은 권한을 승인하는 일이 의도치 않게 발생할 수 있다. 이런 이유로 필자는 오쓰 설정을 설정할 때 항상 관리자가 반드시 접근을 승인하거나 최소한 접근 승인을 감시하도록 설정하라고 권장한다. 공격자가 오쓰를 악용하는 방식 공격 순서의 시작은 피싱 이메일을 보내 사용자가 링크를 클릭하거나 활동을 승인하게끔 유인하는 것이다. 공격자들은 이렇게 간단하게 사용자의 이메일과 최소한 연락처 정보를 읽을 수 있다. 그 동안 알려진 공격 사례를 보면 오쓰 접근 토큰의 특징은 사용자의 의심을 덜 사도록 표적 기업의 브랜딩과 흡사하게 만들어져 있다는 것이다. 사용자에게는 회사 자원에 제한된 접근권을 부여하는 화면이 표시된다. 공격자는 클라우드 서비스를 사용해 구체적인 오쓰 인증 요청 링크를 띄우는 피싱 유인책을 만든다. 사용자가 링크를 클릭하면 권한이 승인되기 때문에 공격자는 오쓰가 사용되는 생태계 전체에서 해당 사용자 행세를 할 수 있다. 이런 공격은 다중 인증을 추가해도 막을 수 없다. 특정 활동과 이상 동작을 검토하기 ...

오쓰 OAuth

2021.02.22

최근 멜웨어바이츠(Malwarebytes)의 발표에 따르면, 솔라윈즈(SolarWinds) 공격자들이 멜웨어바이츠의 내부 이메일에 접근했다고 한다. 이때 이용한 침입 벡터는 다른 공격에서 사용한 것과 같은 침입 벡터로, 마이크로소프트 오피스 365 및 애저 환경에 대한 권한있는 접근으로 애플리케이션을 악용하는 것으로 보인다. 멜웨어바이츠 관계자는 “조사 결과 공격자가 이용한 것은 한정된 내부 회사 이메일 일부에 접근하게 해 주는 오피스 365 테넌트 내 휴면 이메일 보호 제품 것으로 나타났다”라고 밝혔다. 공격 순서를 볼 때 오쓰(OAuth)를 통한 서드파티 사이트의 승인 공유를 최종 사용자가 허가하도록 속이는 수법이 동원된 것으로 보인다.   오쓰 2.0은 토큰 기반 인증 및 허가 승인 표준으로, 사용자의 비밀번호를 직접 노출시키지 않고 애플리케이션이 승인을 받도록 해 준다. 이렇게 링크를 통해 연결하면 서드파티 제품에 의도한 것보다 더 많은 권한을 승인하는 일이 의도치 않게 발생할 수 있다. 이런 이유로 필자는 오쓰 설정을 설정할 때 항상 관리자가 반드시 접근을 승인하거나 최소한 접근 승인을 감시하도록 설정하라고 권장한다. 공격자가 오쓰를 악용하는 방식 공격 순서의 시작은 피싱 이메일을 보내 사용자가 링크를 클릭하거나 활동을 승인하게끔 유인하는 것이다. 공격자들은 이렇게 간단하게 사용자의 이메일과 최소한 연락처 정보를 읽을 수 있다. 그 동안 알려진 공격 사례를 보면 오쓰 접근 토큰의 특징은 사용자의 의심을 덜 사도록 표적 기업의 브랜딩과 흡사하게 만들어져 있다는 것이다. 사용자에게는 회사 자원에 제한된 접근권을 부여하는 화면이 표시된다. 공격자는 클라우드 서비스를 사용해 구체적인 오쓰 인증 요청 링크를 띄우는 피싱 유인책을 만든다. 사용자가 링크를 클릭하면 권한이 승인되기 때문에 공격자는 오쓰가 사용되는 생태계 전체에서 해당 사용자 행세를 할 수 있다. 이런 공격은 다중 인증을 추가해도 막을 수 없다. 특정 활동과 이상 동작을 검토하기 ...

2021.02.22

오쓰(OAuth)란?··· 보안 전문가를 위한 가이드

분산형 PC네트워크가 태동한 이후 크랙하기에 유독 힘든 컴퓨터 보안기법 중 하나는 여러 컴퓨터에 걸쳐 원활한 SSO(Single Sign On) 액세스 경험을 제공하는 것이었다. 각 컴퓨터가 자신의 서비스와 콘텐츠를 이용하기 위해 관련 없는 로그인 계정이 필요하기 때문이다. 비록 전체 인터넷 전체에 실현되지는 않았을지라도, 이제는 하나의 로그인을 이용해 다수의 관련 없는 웹사이트들에 접근할 수 있다. 특정 한 장소에 로그인 하기 위해 비밀번호, 전화기, 디지털 인증서, 생체ID, 이중 인증(2FA), 다중 인증(MFA) SSO 솔루션 등을 사용하면 다른 장소에서도 하루 온 종일 다른 액세스 크리덴셜을 제공할 필요가 없다. 바로 오쓰(OAuth)덕분이다. 오쓰는 공개(open) 표준에 기반을 둔 인증 프로토콜, 도는 프레임워크로, 최초의 싱글 로그인 크리덴셜을 공유하지 않아도 관련 없는 서버와 서비스의 자산에 대한 접근을 인증할 수 있게 해준다. 인증 분야의 용어로 표현하자면 안전하고, 써드파티이며, 사용자 에이전트인 동시에 위임(Delegated) 인증 방식이라고 표기될 수 있다. 태동부터 트위터, 구글 등이 강력히 지원하고 나섰던 오쓰는 2010년 RFC 5849 공개 표준으로 등장했다. 그리고 곧장 광범위하게 보급됐다. 2년 여 동안 대대적인 버전 변경을 거친 후, 2012년 RFC 6749로 오쓰 2.01 버전이 출시됐다. 버전 2.0은 아래에서 다룰 여러 이유로 많은 비판을 받았음에도 불구하고 더 큰 인기를 끌었다. 지금은 아마존, 페이스북, 인스타그램, 링크드인, 마이크로소프트, 넷플릭스, 페이팔 및 기타 회사들이 이를 도입해 사용하고 있다. 오쓰를 간단한 사례를 들어 설명해보자. 특정 웹사이트에 방문해 로그인 하려 할 때, 해당 웹사이트는 다른 하나 이상의 웹사이트/서비스의 로그인을 이용해 로그인할 기회를 준다. 다른 웹사이트에 링크된 버튼을 클릭하면, 이 웹사이트가 사용자를 인증한다. 그러면 ...

로그인 승인 OAuth 오쓰 공개인증 인가

2017.08.18

분산형 PC네트워크가 태동한 이후 크랙하기에 유독 힘든 컴퓨터 보안기법 중 하나는 여러 컴퓨터에 걸쳐 원활한 SSO(Single Sign On) 액세스 경험을 제공하는 것이었다. 각 컴퓨터가 자신의 서비스와 콘텐츠를 이용하기 위해 관련 없는 로그인 계정이 필요하기 때문이다. 비록 전체 인터넷 전체에 실현되지는 않았을지라도, 이제는 하나의 로그인을 이용해 다수의 관련 없는 웹사이트들에 접근할 수 있다. 특정 한 장소에 로그인 하기 위해 비밀번호, 전화기, 디지털 인증서, 생체ID, 이중 인증(2FA), 다중 인증(MFA) SSO 솔루션 등을 사용하면 다른 장소에서도 하루 온 종일 다른 액세스 크리덴셜을 제공할 필요가 없다. 바로 오쓰(OAuth)덕분이다. 오쓰는 공개(open) 표준에 기반을 둔 인증 프로토콜, 도는 프레임워크로, 최초의 싱글 로그인 크리덴셜을 공유하지 않아도 관련 없는 서버와 서비스의 자산에 대한 접근을 인증할 수 있게 해준다. 인증 분야의 용어로 표현하자면 안전하고, 써드파티이며, 사용자 에이전트인 동시에 위임(Delegated) 인증 방식이라고 표기될 수 있다. 태동부터 트위터, 구글 등이 강력히 지원하고 나섰던 오쓰는 2010년 RFC 5849 공개 표준으로 등장했다. 그리고 곧장 광범위하게 보급됐다. 2년 여 동안 대대적인 버전 변경을 거친 후, 2012년 RFC 6749로 오쓰 2.01 버전이 출시됐다. 버전 2.0은 아래에서 다룰 여러 이유로 많은 비판을 받았음에도 불구하고 더 큰 인기를 끌었다. 지금은 아마존, 페이스북, 인스타그램, 링크드인, 마이크로소프트, 넷플릭스, 페이팔 및 기타 회사들이 이를 도입해 사용하고 있다. 오쓰를 간단한 사례를 들어 설명해보자. 특정 웹사이트에 방문해 로그인 하려 할 때, 해당 웹사이트는 다른 하나 이상의 웹사이트/서비스의 로그인을 이용해 로그인할 기회를 준다. 다른 웹사이트에 링크된 버튼을 클릭하면, 이 웹사이트가 사용자를 인증한다. 그러면 ...

2017.08.18

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5