SAML ¶óÀ̺귯¸® ÀÚü¿¡ ÀÖ´Â Ãë¾àÁ¡...»ç¿ë Áß¿¡ ÀÖ´Ù¸é ¹Ýµå½Ã È®ÀÎ ÇÊ¿ä
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] »õ·Ó°Ô ¹ß°ßµÈ Ãë¾àÁ¡ ¶§¹®¿¡ ½Ì±Û»çÀο ½Ã½ºÅÛÀÌ À§±â¿¡ óÇÏ°Ô µÆ´Ù. ƯÈ÷ SAMLÀ» ±â¹ÝÀ¸·Î ÇÏ´Â ½Ì±Û»çÀο ¹× ÀÎÁõ ½Ã½ºÅÛÀ» ÅëÇؼ´Â ÇÇÇØÀÚÀÇ ºñ¹Ð¹øÈ£¸¦ ¾ËÁö ¸øÇصµ °ø°ÝÀÚ°¡ ÀÎÁõÀ» ¹ÞÀ» ¼ö ÀÖ´Ù°í ÇÑ´Ù. ÀÌ Ãë¾àÁ¡À» ¹ß°ßÇÑ °Ç º¸¾È ¾÷ü µà¿À ½ÃÅ¥¸®Æ¼(Duo Security)·Î, ÃÖ±Ù CERT ÆÀ°ú ÇÔ²² ÀÌ °°Àº »ç½ÇÀ» °ø°³Çß´Ù.
[À̹ÌÁö = iclickart]
SAMLÀº ÀÏÁ¾ÀÇ XML ¸¶Å©¾÷ ¾ð¾î·Î ¼µåÆÄƼ ¾ÖÇø®ÄÉÀ̼ÇÀ» ÀÎÁõÇÏ´Â µ¥¿¡ »ç¿ëµÈ´Ù. ¿¹¸¦ µé¾î »ç¿ëÀÚ°¡ ¿ÀÇǽº 365³ª ¼¼ÀÏÁîÆ÷½º¿Í °°Àº ¾ÖÇø®ÄÉÀ̼ǿ¡ ·Î±×ÀÎÇÏ·Á°í ÇÒ ¶§, SAMLÀº ºê¶ó¿ìÀú¸¦ ÇØ´ç ȸ»çÀÇ ·Î±×ÀÎ ÆäÀÌÁö·Î ¿ìȸ½ÃŲ´Ù. ·Î±×ÀÎÀÌ ¼º°øÇÏ¸é ºê¶ó¿ìÀú´Â ¶Ç ´Ù½Ã ¿ø·¡ ·Î±×ÀÎ ÈÄ »ç¿ëÇÏ·Á°í Çß´ø ¾ÖÇø®ÄÉÀÌ¼Ç ÆäÀÌÁö·Î ¿ìȸ½ÃÄÑÁØ´Ù. ½Ì±Û»çÀο ¼ºñ½º¿¡¼ Àα⠸®¿¡ »ç¿ëµÇ°í ÀÖ´Ù.
½Ì±Û»çÀο ÀÎÁõ ½Ã½ºÅÛÀÌ ÀÛµ¿ÇÒ ¶§, °¡Àå ¸ÕÀú´Â ¾ÆÀ̵§Æ¼Æ¼ Á¦°ø ¼ºñ½º(IdP)°¡ ¹ßµ¿µÈ´Ù. IdP´Â »ç¿ëÀÚ À̸§°ú ºñ¹Ð¹øÈ£¸¦ ÅëÇØ °èÁ¤ »óŸ¦ È®ÀÎÇϰųª ÀÌÁßÀÎÁõ ½Ã½ºÅÛÀ» °¡µ¿½ÃÅ°´Â ¿ªÇÒÀ» ÇÑ´Ù. ¶ÇÇÑ ¼¸íÀÌ µÈ SAML ÀÀ´äÀ» »ý¼ºÇϱ⵵ Çϴµ¥, ÀÌ´Â ´Ù½Ã ÀÎÁõÀ» ¿äûÇß´ø ¼ºñ½º Á¦°ø¾÷ü¿¡°Ô ¹ßºÎµÈ´Ù. ¼¸íÀÌ ¿Ã¹Ù¸£¸é ¹®ÀÚ¿ ½Äº°ÀÚ°¡ ÀÎÁõµÇ¾î¾ß ÇÏ´Â »ç¿ëÀÚ¸¦ È®ÀÎÇÑ´Ù.
µà¿À ½ÃÅ¥¸®Æ¼¿¡ ÀÇÇÏ¸é ¸¹Àº ¿ÀǼҽº ¶óÀ̺귯¸®µé¿¡ Ãë¾àÁ¡ÀÌ Á¸ÀçÇØ, °ø°ÝÀÚµéÀÌ SAML ÀÀ´äÀ» Á¶ÀÛÇÒ ¼ö ÀÖ´Ù°í ÇÑ´Ù. ÀÌ ¶§ ¾ÏȣȵǾî ÀÖ´Â ½Ã±×´Ïó¸¦ º¯°æÇÒ ÇÊ¿äµµ ¾ø°í, µû¶ó¼ ¿øÇÏ´Â ¾ÖÇø®ÄÉÀ̼ǿ¡ ¸¶Ä¡ Á¤»ó »ç¿ëÀÚÀÎ °Íó·³ ·Î±×ÀÎ ÇÒ ¼ö ÀÖ´Ù°í ÇÑ´Ù.
¡°½Ì±Û»çÀοÂÀº ÀÎÁõ °úÁ¤À» °£´ÜÇÏ°Ô ¸¸µé¾îÁÖ´Â ±â¼úÀÔ´Ï´Ù. ÇÑ °¡Áö ¼ºñ½º¿¡ ·Î±×ÀÎÀ» Çϸé, ±×°ÍÀ» °¡Áö°í ´Ù¸¥ ¼ºñ½º¿¡µµ ·Î±×ÀÎ ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â °ÍÀÌÁö¿ä.¡± µà¿À ½ÃÅ¥¸®Æ¼ÀÇ ¼ö¼® ¿£Áö´Ï¾îÀÎ Ä̺ñ ·çµåÀ¨(Kelby Ludwig)ÀÇ ¼³¸íÀÌ´Ù. ¡°¹Ý´ë·Î °ø°ÝÀÚ°¡ ÀÌ ¸¹Àº ¼ºñ½ºµé Áß ÇÑ °¡Áö¿¡¸¸ ·Î±×ÀÎ ÇÒ ¼ö ÀÖ´Ù¸é ¾î¶»°Ô µÉ±î¿ä? ¸¶Âù°¡Áö·Î ´Ù¸¥ ¼ºñ½ºµé¿¡µµ ·Î±×ÀÎÀÌ °¡´ÉÇÏ°Ô µÇ°ÚÁÒ.¡±
µà¿À ½ÃÅ¥¸®Æ¼°¡ ¹ß°ßÇÑ ÇÙ½É Ãë¾àÁ¡Àº SAML ÀÀ´ä ¿äûµé¿¡ »ðÀÔµÈ XML ÄÚ¸àÆ®µé¿¡ Á¸ÀçÇÑ´Ù. ¡°XMLÀÇ Á¤±ÔÈ ¾Ë°í¸®ÁòÀº ´ëºÎºÐ ½Ã±×´Ïó¸¦ È®ÀÎÇÏ´Â °úÁ¤¿¡¼ ÄÚ¸àÆ®µéÀ» Áö¿ö¹ö¸³´Ï´Ù. ±× ¸»Àº ±× ºó ÀÚ¸®¿¡ ´©±º°¡ ¹º°¡¸¦ Ãß°¡ÇÒ ¼ö ÀÖ´Ù´Â ¶æÀÌÁÒ. °ø°ÝÀÚµéÀÌ ³ë¸± ¼ö ÀÖ´Â °Ç ÀÌ ºÎºÐÀÔ´Ï´Ù.¡±
°ø°ÝÀÚ°¡ ÀÌ °ø°ÝÀ» ¼º°ø½ÃÅ°±â À§ÇØ °®Ãß°í ÀÖ¾î¾ß ÇÒ °Ç °ø°Ý ´ë»ó°ú °°Àº ³×Æ®¿öÅ© ³»¿¡ ÀÖ´Â °èÁ¤ÀÌ´Ù. ±×·¯¸é ÀÚ½ÅÀÇ °èÁ¤À» ÅëÇØ SAML ¿äû ³» ÄÜÅÙÃ÷¸¦ º¯°æ½Ãų ¼ö ÀÖ°í, À̸¦ ÅëÇØ ´Ù¸¥ »ç¿ëÀÚÀÎ °Íó·³ ·Î±×ÀÎÀÌ °¡´ÉÇÏ´Ù´Â °ÍÀÌ´Ù.
µà¿À ½ÃÅ¥¸®Æ¼´Â ¿©·¯ º¥´õµéÀÌ ÀÌ·¯ÇÑ Ãë¾àÁ¡À» °¡Áö°í ÀÖÀ½À» ¹àÇô³»±âµµ Çß´Ù.
1) ¿ø·Î±×ÀÎ(OneLogin) : python-saml - CVE-2017-11427
2) ¿ø·Î±×ÀÎ(OneLogin) : ruby-saml - CVE-2017-11428
3) Ŭ·¹¹ö(Clever) : saml2-js - CVE-2017-11429
4) ¿È´Ï¿À½º(OmniAuth) : SAML - CVE-2017-11430
5) ½Ãº¼·¹½º(Shibboleth) : CVE-2018-0489
6) µà¿À ³×Æ®¿öÅ© °ÔÀÌÆ®¿þÀÌ(Duo Network Gateway) : CVE-2018-7340
´Ù ´Ù¸¥ CVE°¡ ¹èÁ¤µÈ °Í¿¡¼ º¼ ¼ö ÀÖµí SAML¿¡ ÀÇÁ¸ÇÏ´Â ½Ã½ºÅÛÀ̶ó°í ÇÏ´õ¶óµµ, À̹ø¿¡ ¹ß°ßµÈ ½Ã½ºÅÛ ¿À·ù´Â °¢°¢ ´Ù¸¥ ¸ð¾çÀ¸·Î ¿µÇâÀ» ÁØ´Ù°í µà¿À ½ÃÅ¥¸®Æ¼´Â °Á¶ÇÑ´Ù. ¡°¿¹¸¦ µé¾î À̸ÞÀÏ ÁÖ¼Ò·Î ÀÎÁõÀ» ÇÏ°í, ÈÀÌÆ®¸®½ºÆ® ±â¹ýÀ¸·Î µµ¸ÞÀÎÀ» ÀÎÁõÇÏ´Â ¼ºñ½º¶ó¸é À̹ø SAML ÀͽºÇ÷ÎÀÕ¿¡ ¿µÇâÀ» Àû°Ô ¹Þ½À´Ï´Ù. ±×·¯³ª ÀÓÀÇÀÇ ¹®ÀÚ¿À» °¡Áö°í »ç¿ëÀÚ¸¦ ÆǺ°ÇÏ´Â ½Ã½ºÅÛÀ̶ó¸é ¿µÇâÀ» Á» ´õ Å©°Ô ¹ÞÁÒ.¡±
Áß¿äÇÑ °Ç IdPµéÀÌ ¾Æ´Ï¶ó SAML ¶óÀ̺귯¸®¿¡ ¿À·ù°¡ ÀÖ´Ù´Â °ÍÀ̶ó°í µà¿À ½ÃÅ¥¸®Æ¼ÀÇ Àü¹®°¡µéÀº ÀÔÀ» ¸ðÀº´Ù. ¡°½Ì±Û»çÀοÂÀ» µµÀÔ½ÃÅ°°íÀÚ ÇÑ´Ù¸é ¾Æ¸¶µµ SAML ¶óÀ̺귯¸®¸¦ °í·ÁÇÏ°Ô µÉ °Ì´Ï´Ù. ±× ¸»Àº À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡ÀÇ ¿µÇâ±Ç ¾Æ·¡ µé¾î°£´Ù´Â °ÍÀÌÁö¿ä. SAML ¶óÀ̺귯¸®¸¦ »ç¿ëÇÏ°í ÀÖ´Ù¸é ¹Ýµå½Ã À̹ø Ãë¾àÁ¡¿¡ ¾ó¸¸Å ³ëÃâµÇ¾î ÀÖ´ÂÁö È®ÀÎÇغÁ¾ß ÇÕ´Ï´Ù.¡±
µà¿À ½ÃÅ¥¸®Æ¼´Â ¡°ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕÇϸé ÀÎÁõ °úÁ¤ÀÇ Ã¹ ´Ü°è¸¸À» ¿ìȸÇÒ ¼ö ÀÖ°Ô µÈ´Ù¡±¸ç ¡°SAML ¼ºñ½º¿¡ ÀÌÁßÀÎÁõ ½Ã½ºÅÛÀ» ¿¬µ¿½ÃÅ°¸é ¾î´À Á¤µµ ¹æ¾îÇÒ ¼ö ÀÖÀ» °Í¡±À̶ó°í ¼³¸íÇÑ´Ù. ¡°ÇÏÁö¸¸ IdP°¡ ù ¹ø°¿Í µÎ ¹ø° ÀÎÁõ °úÁ¤ ¸ðµÎ¸¦ °ü¸®ÇÑ´Ù¸é º° µµ¿òÀÌ µÇÁö ¾ÊÀ» ¹æ¹ýÀ̱⵵ ÇÕ´Ï´Ù.¡±
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>