Home > 전체기사 > 외신
비밀번호 없앤 야심찬 인증 도구 WHfB, 키 관리 제대로 안 돼
  |  입력 : 2019-12-05 11:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
WHfB의 기본 철학에 반한 한 전문가, 연구와 분석 하다가 되려 취약점 발견해
펌웨어나 소프트웨어 업데이트 해도 문제 여전히 남아 있어...공공 키부터 지워내야


[보안뉴스 문가용 기자] MS가 보안 얼마 전 문제가 된 윈도우 헬로 포 비즈니스(Windows Hello for Business, WHfB)와 관련된 보안 권고문 ADV190026을 발표했다. 윈도우 장비를 액티브 디렉토리(Active Directory)에서 삭제한 다음에도, 해당 액티브 디렉토리가 계속해서 존재한다면 공공 키도 그대로 존재하게 되는 게 이번 권고문을 통해 다뤄진 문제의 핵심이었다.

[이미지 = iclickart]


이 문제를 발견한 건 보안 및 IT 전문가인 마이클 그라프네터(Michael Grafnetter)다. 원래는 WHfB에 반해 내부 원리를 열심히 공부하다가 문제가 있음을 알아차렸다고 한다. “WHfB는 비밀번호 없이 사용자 인증을 해주는 도구로, 처음 나왔을 때부터 개인적 관심이 컸습니다. 비밀번호는 사라져야 할 인증 도구라고 보는 입장이기 때문입니다. 하지만 WHfB도 완벽한 건 아니더군요.”

그라프네터에 따르면 문제는 다음과 같다. “예를 들어 한 사용자가 WHfB를 설정했다고 합시다. 그러면 설정 시 사용됐던 WHfB 공공 키는 온프레미스의 액티브 디렉토리에 저장됩니다. 그 키들은 애저 액티브 디렉토리(Azure Active Directory)에 추가된 사용자나 장비와 관련이 있는 것이고요. 그런데 이 장비를 액티브 디렉토리에서 삭제하면 연결된 WHfB 키는 갈 곳을 잃게 됩니다. 삭제는 되지 않은 상태에서 말이죠. 물론 애저 AD로 인증해 들어갈 때 이렇게 근간을 잃은 키들이 사용되면 접근이 허락되지 않습니다만 하이브리드 클라우드나 온프레미스 환경에 있는 기업들이라면 이런 보호를 받을 수 없습니다.”

인증 과정을 통과한 공격자라면, 이렇게 떠돌아다니는 키들을 신뢰 플랫폼 모듈(TPM)에서 추출할 수 있게 된다고 그라프네터는 설명한다. “그 정보를 바탕으로 WHfB의 비밀 키도 계산해 추측할 수 있게 됩니다. 이런 식으로 비밀 키 탈취에 성공한 공격자는 드디어 사용자인 것처럼 로그인 할 수 있게 됩니다.”

중요한 건 TPM의 최신 펌웨어 및 소프트웨어 패치를 적용한다고 하더라도 위험이 지속된다는 것이다. “CVE-2017-15361에 영향을 받은 TPM들은 펌웨어와 소프트웨어 업데이트를 받았다고 하더라도 익스플로잇 할 수 있습니다. 공공 키가 액티브 디렉토리에 그대로 남아있는 게 문제의 단초이기 때문입니다.”

그래서 MS는 이번 보안 권고문을 통해 진작에 삭제되었어야 할 공공 키를 액티브 디렉토리에서 찾아 삭제하는 방법을 상세히 설명하고 있다. MS는 “공공 키를 제대로 삭제한 이후 패치와 업데이트를 진행하라”고 권고하기도 했다.

다행이라면, 이 취약점을 활용한 실제 공격이 발생했다는 증거나 징후를 아직까지 조금도 찾아낼 수 없었다는 것이다. MS도 “실제 피해자가 나타난 사례가 아직 없다”는 걸 강조했다.

3줄 요약
1. MS의 ‘비밀번호 없는 인증 장치’, WHfB에서 공공 키 무삭제 취약점 발견됨.
2. 액티브 디렉토리에서 장비를 삭제했다면 공공 키도 삭제되어야 하지만 실제는 그렇지 않았음.
3. MS는 보안 권고문 통해 액티브 디렉토리의 공공 키 삭제하는 방법 상세히 설명.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)