º¸¾È´º½º â°£ 17ÁÖ³âÀ» ÃàÇÏÇÕ´Ï´Ù!!

Home > Àüü±â»ç

SAMLÀ» ÅëÇÑ ½Ì±Û»çÀο ½Ã½ºÅÛ¿¡¼­ Ä¡¸íÀû Ãë¾àÁ¡ ¹ß°ß

ÀÔ·Â : 2018-02-28 11:44
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
°°Àº ³×Æ®¿öÅ© ¾È¿¡ °èÁ¤¸¸ º¸À¯ÇÏ°í ÀÖ´Ù¸é, ´Ù¸¥ °èÁ¤À¸·Î ·Î±×ÀÎ °¡´É
SAML ¶óÀ̺귯¸® ÀÚü¿¡ ÀÖ´Â Ãë¾àÁ¡...»ç¿ë Áß¿¡ ÀÖ´Ù¸é ¹Ýµå½Ã È®ÀÎ ÇÊ¿ä


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] »õ·Ó°Ô ¹ß°ßµÈ Ãë¾àÁ¡ ¶§¹®¿¡ ½Ì±Û»çÀο ½Ã½ºÅÛÀÌ À§±â¿¡ óÇÏ°Ô µÆ´Ù. ƯÈ÷ SAMLÀ» ±â¹ÝÀ¸·Î ÇÏ´Â ½Ì±Û»çÀο ¹× ÀÎÁõ ½Ã½ºÅÛÀ» ÅëÇؼ­´Â ÇÇÇØÀÚÀÇ ºñ¹Ð¹øÈ£¸¦ ¾ËÁö ¸øÇصµ °ø°ÝÀÚ°¡ ÀÎÁõÀ» ¹ÞÀ» ¼ö ÀÖ´Ù°í ÇÑ´Ù. ÀÌ Ãë¾àÁ¡À» ¹ß°ßÇÑ °Ç º¸¾È ¾÷ü µà¿À ½ÃÅ¥¸®Æ¼(Duo Security)·Î, ÃÖ±Ù CERT ÆÀ°ú ÇÔ²² ÀÌ °°Àº »ç½ÇÀ» °ø°³Çß´Ù.

[À̹ÌÁö = iclickart]


SAMLÀº ÀÏÁ¾ÀÇ XML ¸¶Å©¾÷ ¾ð¾î·Î ¼­µåÆÄƼ ¾ÖÇø®ÄÉÀ̼ÇÀ» ÀÎÁõÇÏ´Â µ¥¿¡ »ç¿ëµÈ´Ù. ¿¹¸¦ µé¾î »ç¿ëÀÚ°¡ ¿ÀÇǽº 365³ª ¼¼ÀÏÁîÆ÷½º¿Í °°Àº ¾ÖÇø®ÄÉÀ̼ǿ¡ ·Î±×ÀÎÇÏ·Á°í ÇÒ ¶§, SAMLÀº ºê¶ó¿ìÀú¸¦ ÇØ´ç ȸ»çÀÇ ·Î±×ÀÎ ÆäÀÌÁö·Î ¿ìȸ½ÃŲ´Ù. ·Î±×ÀÎÀÌ ¼º°øÇÏ¸é ºê¶ó¿ìÀú´Â ¶Ç ´Ù½Ã ¿ø·¡ ·Î±×ÀÎ ÈÄ »ç¿ëÇÏ·Á°í Çß´ø ¾ÖÇø®ÄÉÀÌ¼Ç ÆäÀÌÁö·Î ¿ìȸ½ÃÄÑÁØ´Ù. ½Ì±Û»çÀο ¼­ºñ½º¿¡¼­ Àα⠸®¿¡ »ç¿ëµÇ°í ÀÖ´Ù.

½Ì±Û»çÀο ÀÎÁõ ½Ã½ºÅÛÀÌ ÀÛµ¿ÇÒ ¶§, °¡Àå ¸ÕÀú´Â ¾ÆÀ̵§Æ¼Æ¼ Á¦°ø ¼­ºñ½º(IdP)°¡ ¹ßµ¿µÈ´Ù. IdP´Â »ç¿ëÀÚ À̸§°ú ºñ¹Ð¹øÈ£¸¦ ÅëÇØ °èÁ¤ »óŸ¦ È®ÀÎÇϰųª ÀÌÁßÀÎÁõ ½Ã½ºÅÛÀ» °¡µ¿½ÃÅ°´Â ¿ªÇÒÀ» ÇÑ´Ù. ¶ÇÇÑ ¼­¸íÀÌ µÈ SAML ÀÀ´äÀ» »ý¼ºÇϱ⵵ Çϴµ¥, ÀÌ´Â ´Ù½Ã ÀÎÁõÀ» ¿äûÇß´ø ¼­ºñ½º Á¦°ø¾÷ü¿¡°Ô ¹ßºÎµÈ´Ù. ¼­¸íÀÌ ¿Ã¹Ù¸£¸é ¹®ÀÚ¿­ ½Äº°ÀÚ°¡ ÀÎÁõµÇ¾î¾ß ÇÏ´Â »ç¿ëÀÚ¸¦ È®ÀÎÇÑ´Ù.

µà¿À ½ÃÅ¥¸®Æ¼¿¡ ÀÇÇÏ¸é ¸¹Àº ¿ÀǼҽº ¶óÀ̺귯¸®µé¿¡ Ãë¾àÁ¡ÀÌ Á¸ÀçÇØ, °ø°ÝÀÚµéÀÌ SAML ÀÀ´äÀ» Á¶ÀÛÇÒ ¼ö ÀÖ´Ù°í ÇÑ´Ù. ÀÌ ¶§ ¾ÏȣȭµÇ¾î ÀÖ´Â ½Ã±×´Ïó¸¦ º¯°æÇÒ ÇÊ¿äµµ ¾ø°í, µû¶ó¼­ ¿øÇÏ´Â ¾ÖÇø®ÄÉÀ̼ǿ¡ ¸¶Ä¡ Á¤»ó »ç¿ëÀÚÀÎ °Íó·³ ·Î±×ÀÎ ÇÒ ¼ö ÀÖ´Ù°í ÇÑ´Ù.

¡°½Ì±Û»çÀοÂÀº ÀÎÁõ °úÁ¤À» °£´ÜÇÏ°Ô ¸¸µé¾îÁÖ´Â ±â¼úÀÔ´Ï´Ù. ÇÑ °¡Áö ¼­ºñ½º¿¡ ·Î±×ÀÎÀ» Çϸé, ±×°ÍÀ» °¡Áö°í ´Ù¸¥ ¼­ºñ½º¿¡µµ ·Î±×ÀÎ ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â °ÍÀÌÁö¿ä.¡± µà¿À ½ÃÅ¥¸®Æ¼ÀÇ ¼ö¼® ¿£Áö´Ï¾îÀÎ Ä̺ñ ·çµåÀ¨(Kelby Ludwig)ÀÇ ¼³¸íÀÌ´Ù. ¡°¹Ý´ë·Î °ø°ÝÀÚ°¡ ÀÌ ¸¹Àº ¼­ºñ½ºµé Áß ÇÑ °¡Áö¿¡¸¸ ·Î±×ÀÎ ÇÒ ¼ö ÀÖ´Ù¸é ¾î¶»°Ô µÉ±î¿ä? ¸¶Âù°¡Áö·Î ´Ù¸¥ ¼­ºñ½ºµé¿¡µµ ·Î±×ÀÎÀÌ °¡´ÉÇÏ°Ô µÇ°ÚÁÒ.¡±

µà¿À ½ÃÅ¥¸®Æ¼°¡ ¹ß°ßÇÑ ÇÙ½É Ãë¾àÁ¡Àº SAML ÀÀ´ä ¿äûµé¿¡ »ðÀÔµÈ XML ÄÚ¸àÆ®µé¿¡ Á¸ÀçÇÑ´Ù. ¡°XMLÀÇ Á¤±ÔÈ­ ¾Ë°í¸®ÁòÀº ´ëºÎºÐ ½Ã±×´Ïó¸¦ È®ÀÎÇÏ´Â °úÁ¤¿¡¼­ ÄÚ¸àÆ®µéÀ» Áö¿ö¹ö¸³´Ï´Ù. ±× ¸»Àº ±× ºó ÀÚ¸®¿¡ ´©±º°¡ ¹º°¡¸¦ Ãß°¡ÇÒ ¼ö ÀÖ´Ù´Â ¶æÀÌÁÒ. °ø°ÝÀÚµéÀÌ ³ë¸± ¼ö ÀÖ´Â °Ç ÀÌ ºÎºÐÀÔ´Ï´Ù.¡±

°ø°ÝÀÚ°¡ ÀÌ °ø°ÝÀ» ¼º°ø½ÃÅ°±â À§ÇØ °®Ãß°í ÀÖ¾î¾ß ÇÒ °Ç °ø°Ý ´ë»ó°ú °°Àº ³×Æ®¿öÅ© ³»¿¡ ÀÖ´Â °èÁ¤ÀÌ´Ù. ±×·¯¸é ÀÚ½ÅÀÇ °èÁ¤À» ÅëÇØ SAML ¿äû ³» ÄÜÅÙÃ÷¸¦ º¯°æ½Ãų ¼ö ÀÖ°í, À̸¦ ÅëÇØ ´Ù¸¥ »ç¿ëÀÚÀÎ °Íó·³ ·Î±×ÀÎÀÌ °¡´ÉÇÏ´Ù´Â °ÍÀÌ´Ù.

µà¿À ½ÃÅ¥¸®Æ¼´Â ¿©·¯ º¥´õµéÀÌ ÀÌ·¯ÇÑ Ãë¾àÁ¡À» °¡Áö°í ÀÖÀ½À» ¹àÇô³»±âµµ Çß´Ù.
1) ¿ø·Î±×ÀÎ(OneLogin) : python-saml - CVE-2017-11427
2) ¿ø·Î±×ÀÎ(OneLogin) : ruby-saml - CVE-2017-11428
3) Ŭ·¹¹ö(Clever) : saml2-js - CVE-2017-11429
4) ¿È´Ï¿À½º(OmniAuth) : SAML - CVE-2017-11430
5) ½Ãº¼·¹½º(Shibboleth) : CVE-2018-0489
6) µà¿À ³×Æ®¿öÅ© °ÔÀÌÆ®¿þÀÌ(Duo Network Gateway) : CVE-2018-7340

´Ù ´Ù¸¥ CVE°¡ ¹èÁ¤µÈ °Í¿¡¼­ º¼ ¼ö ÀÖµí SAML¿¡ ÀÇÁ¸ÇÏ´Â ½Ã½ºÅÛÀ̶ó°í ÇÏ´õ¶óµµ, À̹ø¿¡ ¹ß°ßµÈ ½Ã½ºÅÛ ¿À·ù´Â °¢°¢ ´Ù¸¥ ¸ð¾çÀ¸·Î ¿µÇâÀ» ÁØ´Ù°í µà¿À ½ÃÅ¥¸®Æ¼´Â °­Á¶ÇÑ´Ù. ¡°¿¹¸¦ µé¾î À̸ÞÀÏ ÁÖ¼Ò·Î ÀÎÁõÀ» ÇÏ°í, È­ÀÌÆ®¸®½ºÆ® ±â¹ýÀ¸·Î µµ¸ÞÀÎÀ» ÀÎÁõÇÏ´Â ¼­ºñ½º¶ó¸é À̹ø SAML ÀͽºÇ÷ÎÀÕ¿¡ ¿µÇâÀ» Àû°Ô ¹Þ½À´Ï´Ù. ±×·¯³ª ÀÓÀÇÀÇ ¹®ÀÚ¿­À» °¡Áö°í »ç¿ëÀÚ¸¦ ÆǺ°ÇÏ´Â ½Ã½ºÅÛÀ̶ó¸é ¿µÇâÀ» Á» ´õ Å©°Ô ¹ÞÁÒ.¡±

Áß¿äÇÑ °Ç IdPµéÀÌ ¾Æ´Ï¶ó SAML ¶óÀ̺귯¸®¿¡ ¿À·ù°¡ ÀÖ´Ù´Â °ÍÀ̶ó°í µà¿À ½ÃÅ¥¸®Æ¼ÀÇ Àü¹®°¡µéÀº ÀÔÀ» ¸ðÀº´Ù. ¡°½Ì±Û»çÀοÂÀ» µµÀÔ½ÃÅ°°íÀÚ ÇÑ´Ù¸é ¾Æ¸¶µµ SAML ¶óÀ̺귯¸®¸¦ °í·ÁÇÏ°Ô µÉ °Ì´Ï´Ù. ±× ¸»Àº À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡ÀÇ ¿µÇâ±Ç ¾Æ·¡ µé¾î°£´Ù´Â °ÍÀÌÁö¿ä. SAML ¶óÀ̺귯¸®¸¦ »ç¿ëÇÏ°í ÀÖ´Ù¸é ¹Ýµå½Ã À̹ø Ãë¾àÁ¡¿¡ ¾ó¸¸Å­ ³ëÃâµÇ¾î ÀÖ´ÂÁö È®ÀÎÇغÁ¾ß ÇÕ´Ï´Ù.¡±

µà¿À ½ÃÅ¥¸®Æ¼´Â ¡°ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕÇϸé ÀÎÁõ °úÁ¤ÀÇ Ã¹ ´Ü°è¸¸À» ¿ìȸÇÒ ¼ö ÀÖ°Ô µÈ´Ù¡±¸ç ¡°SAML ¼­ºñ½º¿¡ ÀÌÁßÀÎÁõ ½Ã½ºÅÛÀ» ¿¬µ¿½ÃÅ°¸é ¾î´À Á¤µµ ¹æ¾îÇÒ ¼ö ÀÖÀ» °Í¡±À̶ó°í ¼³¸íÇÑ´Ù. ¡°ÇÏÁö¸¸ IdP°¡ ù ¹ø°¿Í µÎ ¹ø° ÀÎÁõ °úÁ¤ ¸ðµÎ¸¦ °ü¸®ÇÑ´Ù¸é º° µµ¿òÀÌ µÇÁö ¾ÊÀ» ¹æ¹ýÀ̱⵵ ÇÕ´Ï´Ù.¡±
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 7
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
<º¸¾È´º½º>ÀÇ º¸¾ÈÀü¹® ±âÀÚµéÀÌ ¼±Á¤ÇÑ 2024³â ÁÖ¿ä º¸¾È Å°¿öµå °¡¿îµ¥ °¡Àå Æı޷ÂÀÌ Å¬ °ÍÀ¸·Î º¸´Â À̽´´Â?
Á¡Á¡ ´õ Áö´ÉÈ­µÇ´Â AI º¸¾È À§Çù
¼±°ÅÀÇ ÇØ ¸ÂÀº ÇÙƼºñÁò °ø°Ý
´õ¿í °­·ÂÇØÁø ·£¼¶¿þ¾î »ýÅ°è
Á¡Á¡ ´õ ´Ù¾çÇØÁö´Â ½ÅÁ¾ ÇÇ½Ì °ø°Ý
»çȸ±â¹Ý½Ã¼³ °ø°Ý°ú OT º¸¾È À§Çù
´õ¿í ½ÉÇØÁö´Â º¸¾ÈÀη ºÎÁ· ¹®Á¦
Á¦·ÎÆ®·¯½ºÆ®¿Í °ø±Þ¸Á º¸¾È
°¡¼ÓÈ­µÇ´Â Ŭ¶ó¿ìµå·ÎÀÇ Àüȯ°ú ÀÌ¿¡ µû¸¥ º¸¾ÈÀ§Çù
¸ð¹ÙÀÏ È°¿ëÇÑ º¸ÀÎÀÎÁõ È°¼ºÈ­¿Í ÀÎÁõº¸¾È À̽´
AI CCTVÀÇ ¿ªÇÒ È®´ë