Home > 전체기사

제로트러스트, 다중인증, 아이덴티티 관리 솔루션들, 세션 하이재킹에 약하다

  |  입력 : 2022-08-11 18:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
네트워크 최전선에 방화벽 등을 설치해 놓고 안전을 기대하기 힘든 시대다. 내부에도 샅샅이 보안 기능을 갖춰두어야 한다. 다중인증, IAM, SSO, SaaS 등이 그런 것들인데, 이런 솔루션들이라고 해서 100% 안전한 건 아니라는 연구 결과가 나왔다.

[보안뉴스 문가용 기자] 인터넷 트래픽과 내부 트래픽을 분리시키려는 움직임이 여러 기업들에서 일어나고 있으며, 다중인증, 제로트러스트 접근, SSO, 아이덴티티 관리 등 다양한 도구들이 시장에 나오고 있다. 하지만 이런 보안 기능들은 쿠키 탈취나 재활용, 세션 하이재킹과 같은 공격에 대해서는 무기력하다고 보안 업체 메시시큐리티(Mesh Security)가 밝혔다.

[이미지 = utoimage]


메시시큐리티는 최근 옥타(Okta), 슬랙(Slack), 먼데이(Monday), 깃허브(GitHub) 등과 같은 기업들에서 나온 기술들을 분석하여 계정 탈취, 사용자 사칭 공격과 횡적 움직임을 시도해 보았다. 이 분석에 따르면 인증된 사용자의 쿠키를 훔치거나 세션을 하이재킹 하는 데에 성공한 전문가들은 이 기업들에서 나온 다중인증을 모두 우회할 수 있었으며, 그 결과 권한이 높은 계정, SaaS 애플리케이션, 민감 데이터, 워크로드 모두에 접근이 가능해졌다고 한다.

예를 들어 공격자가 옥타 계정에 로그인한 사용자의 세션 쿠키를 훔쳤을 때, 다른 브라우저와 장소에서도 해당 계정으로 로그인하는 게 가능했다. 그 후에는 해당 계정을 통해 사용자가 할 수 있는 모든 일을 공격자가 똑같이 할 수 있었다고 한다. “원래 비정상적인 장소와 브라우저 등으로 접근하면 차단되어야 하는 게 보통입니다. 하지만 놀랍게도 그런 제한 사항이 전혀 발견되지 않았습니다.” 메시 측의 설명이다.

옥타 측은 이러한 공격 기법이 가능하다는 사실 자체는 인정하지만 그것이 옥타가 책임져야 할 범위를 넘어선다는 입장이다. “옥타의 다중인증 솔루션의 경우 웹 기반 애플리케이션이며, 따라서 브라우저와 OS 자체의 보안 기능에 대한 의존도가 높습니다. 즉 (이번에 지적된 문제는) 브라우저와 OS 단에서 막아야 할 것들이지, 웹 애플리케이션 하나하나가 방비해야 할 것 아닙니다.”

메시의 CEO 네타넬 아줄레이(Netanel Azoulay)는 다른 업체들도 비슷한 반응이었다고 말한다. “저희는 그러한 입장에 동의하지 않습니다. 옥타, 슬랙, 먼데이, 깃허브 등과 같은 기업들이 직접 책임져야 할 문제라고 봅니다. 웹 애플리케이션이라고는 하지만 ‘보안성’ 혹은 ‘안전’을 상품성으로 내걸고 있는 제품들이기 때문입니다. 그렇다면 그 자체로도 사용자들이 안전할 수 있도록 해야 하지, 브라우저나 OS의 문제라고 핑계를 대는 건 적합하지 않습니다.”

쿠키 탈취와 세션 하이재킹은 공격자들 사이에서 널리 알려진 공격 기법이다. APT 단체들은 물론 아마추어 해킹 단체들도 비교적 손쉽게 실행하는 기술이기도 하다. 피싱 공격이나 멀웨어를 통해 쿠키나 세션을 훔쳐낼 수 있다. 쿠키마이너(CookieMiner), 에빌넘(Evilnum), 칵봇(QakBot) 등이 이런 기능을 수행하는 대표적인 멀웨어들이다.

공격자들은 훔친 세션 쿠키들을 통해 웹 애플리케이션이나 웹 서비스들에 접근하는데, 마치 피해자가 직접 로그인 한 것처럼 앱이나 서비스를 속일 수 있다. ‘세션 타임 아웃’ 즉 로그인 유효 시간이 다 되면 훔친 쿠키나 세션이 쓸모 없어지긴 하는데, 서비스나 앱에 따라 수시간에서 수일 동안 유지되기도 한다. 따라서 공격자들에게 충분한 시간이 주어지는 것이다.

아줄레이는 “기업들이 점점 네트워크 외곽을 보호하던 것에서 사용자 개개인의 아이덴티티를 보호하는 쪽으로 변해가는 시점에서 인증 및 망분리와 관련된 웹 앱의 세션과 쿠키가 위험해지고 있다는 건 상당히 큰 문제”라고 지적한다. “현재 다중인증이나 IAM, SaaS, IaaS 등 제로트러스트를 기반으로 한 솔루션들이 기업 내 자산과 직원들을 연결해 주는 허브 역할을 하고 있는 경우가 많아지고 있습니다. 점점 기업 내 네트워크의 코어로 자리를 잡아가고 있는 것이죠. 공격자들이 이런 기능들의 세션을 훔쳐간다? 치명적인 결과로 이어질 수 있습니다.”

아줄레이는 이러한 솔루션들의 가격이 상당히 비싸고, 기업들의 과감한 투자가 이어지고 있다는 것을 지적한다. “어마어마한 돈을 보안에 쏟고 있는 건데, 그 결과가 신통치 않다면 보안이라는 것 자체에 대한 신뢰를 잃을 수 있습니다. 자신의 투자에 대해 회의감을 느낀 투자자들이 다시 투자를 감행하기는 힘듭니다. 저희가 조사한 솔루션들은 ‘보안 제품’이 분명하고, 그 보안 기능이라는 것이 사실은 브라우저나 OS에 의존하고 있다는 걸 사용자가 일일이 이해하리라고 기대할 수는 없습니다.”

옥타는 메시의 문제 제기에 대하여 “사용자 인터페이스 내 사용자 세션을 관리자가 전부 삭제하는 것이 좋다”는 권장 안을 내놓았다. 또한 ‘세션 타임 아웃’ 시간을 설정하는 것도 얼마든지 가능하기 때문에 관리자 차원에서 최소 1분에서 최대 90일 사이에 적합한 길이를 결정할 수 있다고도 덧붙였다. “유효 기간이 지난 세션은 아무리 훔쳐도 소용이 없습니다.”

3줄 요약
1. 제로트러스트가 유행하며 네트워크 외곽을 보호하던 것에서 아이덴티티 보호로 상황이 바뀌고 있음.
2. 그러면서 각종 보안 솔루션들이 나오는 중인데, 세션 및 쿠키 탈취 공격에 취약함.
3. 웹 애플리케이션이나 웹 서비스가 해결해야 할 문제? 아니면 브라우저/OS 문제?

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)