미국 CISA, “솔라윈즈 공격자들, 정말로 SAML 토큰에 접근했다”

입력 : 2021-01-08 20:27

솔리윈즈 공격자들이 SAML 인증 토큰에 접근했다는 의혹은 이전부터도 있어 왔다. 그런데 CISA가 오늘 “진짜 그랬다”고 고개를 끄덕였다. SAML 인증 토큰이 외부인에게 노출되었다는 건 네트워크를 전체적으로 재구축할 정도의 큰일이라는 말과 함께.

[보안뉴스 문가용 기자] 미국 국토안보부 산하 사이버 보안 전담 조직인 CISA가 솔라윈즈(SolarWinds) 사태와 관련하여 새로운 소식을 전했다. 공격자들이 실제로 SAML 인증 토큰을 남용했음을 나타내는 새로운 증거를 찾아냈다는 것이다. 공격자가 SAML 인증 토큰에 접근하는 데 성공할 경우 인증 과정이 완전히 망가질 수 있으며, 네트워크 전체의 재구축이 필요하다고 CISA는 경고했다.


CISA는 발표문을 통해 “사이버 공격자가 관리자급 계정에 사용되는 크리덴셜을 침해했다면, 일반적인 보안 조치 사항들로서는 충분치 않다”며 “SAML 인증 토큰이 남용되었다는 증거가 나왔다는 것도 비슷한 무게감을 갖는 소식”이라고 비교했다.

“이 두 가지의 경우 특정 계정 몇 개만 영향을 받는 게 아니라, 해당 계정이 속한 환경 전체의 신뢰가 손상된 것이나 다름이 없습니다. 전체 환경의 아이덴티티와 신뢰 관계를 재정립해야 합니다. 특히 이번 솔라윈즈 사태처럼 배후에 수준 높은 해커가 있다면 더더욱 그러합니다.”

네트워크 전체를 재구성하라는 CISA의 강력한 권고는 모든 연방 조직들에만 해당되는 이야기다. 그러나 이번 솔라윈즈 사태에 영향을 받았다고 의심되거나 SAML 토큰 침해에 준한 위협을 받은 조직이라면 누구나 이를 ‘일반 권고 사항’으로 받아들여도 무방하다고 한다. CISA는 “솔라윈즈 공격은 연방 정부 기관만이 아니라 모든 지방과 지역의 공공 기관과 사회 기반 시설에도 미칠 수 있는 중대한 위협”이라며 “민간 부문에서도 악영향이 있을 것”이라고 밝혔다.

CISA는 솔라윈즈 사태의 핵심이 되고 있는 오리온(Orion) 소프트웨어의 취약한 버전이 무엇인지도 공지했다. 해당 버전을 보유하고 있던 연방 기관이라면 “반드시 포렌식 분석을 실시하고, CISA가 지시한 모든 보안 조치들을 규정에 맞춰 취하고, 1월 25일까지 그 결과를 소속 조직의 최고 레벨 CIO에 보고하라”는 명령도 함께 전달됐다. 위험하지 않은 버전을 소유하고 있었다면 최신 버전으로 업데이트한 후 일상으로 복귀하라는 설명도 있었다.

현재까지 조사된 바 취약한 오리온 소프트웨어 버전은 1) 2019.4 HF5, 2) 2020.2 RC1, 3) 2020.2 RC2, 4) 2020.2, 5) 2020.2 HF1이다. 이 버전을 보유하고 운영하고 있었던 조직이라면 다음과 같은 경우의 수들이 있다고 한다.

1) 침해의 정황이나 흔적은 있는데 악성 코드가 없으며, 포렌식 분석을 해본 결과 처음부터 악성 코드가 설치된 적이 없다면, 오리온 소프트웨어를 최신화 후 계속 사용해도 무방하다.

2) 침해의 정황이나 흔적이 있고, 악성 코드가 발견되긴 했으나 포렌식 분석을 해본 결과 C&C와의 통신이 한 번도 없었고, 따라서 추가 악성 행위가 하나도 없었을 경우에도 오리온 소프트웨어를 최신화 후 사용할 수 있다.

3) 하지만 이 두 가지 경우 모두 전체 네트워크 재구축과 모든 계정의 재설정을 권장한다고 CISA는 덧붙였다. 포렌식 분석을 할 수 없는 경우라면, CISA가 공개한 침해지표를 활용해 수상한 활동 이력을 찾아내기라도 하라고 권고했다.

그 외에도 CISA는 “보다 상세한 안내는 MS의 권고 사항에 나와 있다”고 안내하기도 했다. CISA가 말하는 MS의 가이드라인은 여기(https://www.microsoft.com/security/blog/2020/12/21/advice-for-incident-responders-on-recovery-from-systemic-identity-compromises/)서 열람이 가능하다.

3줄 요약
1. 솔라윈즈 사태의 공격자들, SAML 인증 토큰을 정말로 남용한 듯.
2. 이는 네트워크 전체 재구축이 필요할 정도로 엄중한 일이라고 미국 CISA는 강조.
3. 연방 기관들에 있어 CISA의 권고는 ‘명령’, 민간 조직들에는 ‘일반 가이드라인.’
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  깃허브와 깃랩 사용하면 사실상 대처법이 전무...

• 2

  ‘K-시큐리티’ 미국 상륙작전! 한국 보안기...

• 3

  북한 IT 인력, 미국 애니메이션 프로젝트 ...

• 4

  [보안 상장기업 주간 주가동향] 증시 악재 ...

• 5

  아파치 프로젝트에서 디펜던시 헷갈릴 수 있게...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  중소기업 주목! 네트워크 장비 보안 점검 방...

• 1

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...