암호 변경은 물리 침입으로도 불가능한데...

마이크로소프트 “취약점이 아니라 원래 디자인의 일부”

[보안뉴스 문가용] 액티브 디렉토리 계정을 가진 사용자의 암호를 해커가 SIEM과 같은 로그 기반 보안 툴의 감시를 뚫고 임의대로 바꿀 수 있는 방법이 발견됐다. 이를 처음 발견한 액티브 디렉토리 보안전문 업체 아오라토(Aorato)의 연구원들은 이 심각한 오류가 액티브 디렉토리가 가지고 있는 편재성과 해커들이 물리적으로 시스템에 접근한다고 해도 할 수 없는 일들을 가능하게 해주는 편의성 때문이라고 밝혔다.

수석 연구원인 탈 베리(Tal B┖ery) 씨는 “사용자가 잠깐 커피 마시러 화면 잠금을 하지 않고 자리를 비웠다고 합시다. 누군가 어슬렁거리다가 슬쩍 그 자리에 앉아서 물리적 접근에 성공하고 나면 별 짓을 다할 수 있죠. 그래도 할 수 없는 게 있다면 암호를 바꾸는 겁니다. 암호를 미리 알고 있지 않은 이상 암호 바꾸는 건 물리적으로 접근해도 불가능합니다. 그렇기 때문에 이번에 발견된 암호 수정법이 무척 위험한 것입니다”라고 설명했다.

물론 자주 사용하는 시스템의 암호를 바꾸면 사용자가 당장 눈치를 채고 조치를 취할 수 있다. 하지만 아무리 자주 사용되는 시스템이라도 예를 들어 주말에 공격이 가해진다면 월요일까지 못해도 48시간 동안 해커는 자유롭게 활동할 수 있게 된다. 게다가 사용자가 자주 접하지 않는 시스템이라면 문제는 더 커진다.

공격법은 의외로 간단했다. 대중에게 공개된 WCE나 미미캐츠(Mimikatz) 같은 무료 침입 진단 도구를 사용해 기기로부터 NTLM 해시 정보를 훔쳐내는 것이다. NTLM 해시 정보란 기업 리소스와 연결된 기기에 저장되어 있는 인증 요소이다.

그래서 아직도 NTLM의 보안성에 대해 논란이 많은 상태이고 많은 단체들은 NTLM 활동들을 기록해둔다. 아오라타는 이번에 발표한 보고서를 통해 이번 공격에 대한 특징을 다음과 같이 정리했다.

1. 공격자는 약한 암호화 프로토콜을 사용해 클라이언트가 액티브 디렉토리의 인증을 받도록 강제합니다. 이 단계에서 이미 공격자는 암호화 프로토콜과 NTLM 해시가 만나는 곳에서 발생하는 액티브 디렉토리의 오류를 악용하고 있는 것입니다.

2. 이런 류의 활동은 시스템에 기록되지 않습니다. 서드파티 로그에도 기록되지 않습니다. NTLM 활동을 특별히 감시하고 기록하는 로그도 아직 이 단계에서 아무 것도 감지하지 못합니다. 그래서 경고도 없고 포렌식 정보도 없습니다. 공격이 들어왔다는 걸 알 수가 없는 것입니다.

3. 그런 후 공격자는 약한 인증서 프로토콜을 활용해 액티브 디렉토리에 마치 정식 사용자처럼 로그인을 할 수 있게 됩니다.

아오라토 측에서 이 사실을 공개했을 때 마이크로소프트는 이건 취약점이라기보다 액티브 디렉토리의 기본 디자인이라는 입장을 취했다. “디자인이건 취약점이건 이름이 중요한 게 아니죠. 오류는 이래도 오류 저래도 오류입니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>