Home > 전체기사

미국 CISA, “솔라윈즈 공격자들, 정말로 SAML 토큰에 접근했다”

  |  입력 : 2021-01-08 20:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔리윈즈 공격자들이 SAML 인증 토큰에 접근했다는 의혹은 이전부터도 있어 왔다. 그런데 CISA가 오늘 “진짜 그랬다”고 고개를 끄덕였다. SAML 인증 토큰이 외부인에게 노출되었다는 건 네트워크를 전체적으로 재구축할 정도의 큰일이라는 말과 함께.

[보안뉴스 문가용 기자] 미국 국토안보부 산하 사이버 보안 전담 조직인 CISA가 솔라윈즈(SolarWinds) 사태와 관련하여 새로운 소식을 전했다. 공격자들이 실제로 SAML 인증 토큰을 남용했음을 나타내는 새로운 증거를 찾아냈다는 것이다. 공격자가 SAML 인증 토큰에 접근하는 데 성공할 경우 인증 과정이 완전히 망가질 수 있으며, 네트워크 전체의 재구축이 필요하다고 CISA는 경고했다.

[이미지 = utoimage]


CISA는 발표문을 통해 “사이버 공격자가 관리자급 계정에 사용되는 크리덴셜을 침해했다면, 일반적인 보안 조치 사항들로서는 충분치 않다”며 “SAML 인증 토큰이 남용되었다는 증거가 나왔다는 것도 비슷한 무게감을 갖는 소식”이라고 비교했다.

“이 두 가지의 경우 특정 계정 몇 개만 영향을 받는 게 아니라, 해당 계정이 속한 환경 전체의 신뢰가 손상된 것이나 다름이 없습니다. 전체 환경의 아이덴티티와 신뢰 관계를 재정립해야 합니다. 특히 이번 솔라윈즈 사태처럼 배후에 수준 높은 해커가 있다면 더더욱 그러합니다.”

네트워크 전체를 재구성하라는 CISA의 강력한 권고는 모든 연방 조직들에만 해당되는 이야기다. 그러나 이번 솔라윈즈 사태에 영향을 받았다고 의심되거나 SAML 토큰 침해에 준한 위협을 받은 조직이라면 누구나 이를 ‘일반 권고 사항’으로 받아들여도 무방하다고 한다. CISA는 “솔라윈즈 공격은 연방 정부 기관만이 아니라 모든 지방과 지역의 공공 기관과 사회 기반 시설에도 미칠 수 있는 중대한 위협”이라며 “민간 부문에서도 악영향이 있을 것”이라고 밝혔다.

CISA는 솔라윈즈 사태의 핵심이 되고 있는 오리온(Orion) 소프트웨어의 취약한 버전이 무엇인지도 공지했다. 해당 버전을 보유하고 있던 연방 기관이라면 “반드시 포렌식 분석을 실시하고, CISA가 지시한 모든 보안 조치들을 규정에 맞춰 취하고, 1월 25일까지 그 결과를 소속 조직의 최고 레벨 CIO에 보고하라”는 명령도 함께 전달됐다. 위험하지 않은 버전을 소유하고 있었다면 최신 버전으로 업데이트한 후 일상으로 복귀하라는 설명도 있었다.

현재까지 조사된 바 취약한 오리온 소프트웨어 버전은 1) 2019.4 HF5, 2) 2020.2 RC1, 3) 2020.2 RC2, 4) 2020.2, 5) 2020.2 HF1이다. 이 버전을 보유하고 운영하고 있었던 조직이라면 다음과 같은 경우의 수들이 있다고 한다.

1) 침해의 정황이나 흔적은 있는데 악성 코드가 없으며, 포렌식 분석을 해본 결과 처음부터 악성 코드가 설치된 적이 없다면, 오리온 소프트웨어를 최신화 후 계속 사용해도 무방하다.

2) 침해의 정황이나 흔적이 있고, 악성 코드가 발견되긴 했으나 포렌식 분석을 해본 결과 C&C와의 통신이 한 번도 없었고, 따라서 추가 악성 행위가 하나도 없었을 경우에도 오리온 소프트웨어를 최신화 후 사용할 수 있다.

3) 하지만 이 두 가지 경우 모두 전체 네트워크 재구축과 모든 계정의 재설정을 권장한다고 CISA는 덧붙였다. 포렌식 분석을 할 수 없는 경우라면, CISA가 공개한 침해지표를 활용해 수상한 활동 이력을 찾아내기라도 하라고 권고했다.

그 외에도 CISA는 “보다 상세한 안내는 MS의 권고 사항에 나와 있다”고 안내하기도 했다. CISA가 말하는 MS의 가이드라인은 여기(https://www.microsoft.com/security/blog/2020/12/21/advice-for-incident-responders-on-recovery-from-systemic-identity-compromises/)서 열람이 가능하다.

3줄 요약
1. 솔라윈즈 사태의 공격자들, SAML 인증 토큰을 정말로 남용한 듯.
2. 이는 네트워크 전체 재구축이 필요할 정도로 엄중한 일이라고 미국 CISA는 강조.
3. 연방 기관들에 있어 CISA의 권고는 ‘명령’, 민간 조직들에는 ‘일반 가이드라인.’

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비