솔라윈즈 사태의 공격자들, ADFS에 접근해 ‘골든 SAML’ 기법 활용
공격 성공시켜 핵심 인프라에 주구장창 접근...앞으로 더 유행할 공격 기법

[보안뉴스 문가용 기자] 최근 발생한 솔라윈즈(SolarWinds) 해킹 공격 사태로 ‘골든 SAML(Golden SAML)’이라는 공격 기법에 대한 관심이 새롭게 높아지고 있다. 골든 SAML은 2017년 보안 업체 사이버아크(CyberArk)가 처음 세상에 알린 바 있는 기법으로, 공격자들이 ADFS를 우회하게 해 준다.


‘골든 SAML’ 공격은 해커들이 피해자 조직의 ADFS 서비스들에 지속적으로 접근할 수 있도록 해 주는 공격 기법인데, 여기서 말하는 ADFS 서비스들은 피해자 조직에 호스팅 된 이메일 서미스, 파일 스토리지 서비스(예 : 셰어포인트), 비즈니스 인텔리전스 관련 앱, 근무 시간 기록 카드 시스템, 출장 시스템 등을 말한다.

이스라엘의 보안 업체 시그니아(Sygnia)는 “솔라윈즈 사태를 통해 골든 SAML이라는 공격 기법에 대한 공격자들의 관심도가 높아졌고, 이 때문에 공격자들은 앞으로 이 부분에 더 많은 자원을 투자할 것으로 보인다”고 경고했다. 그러면서 “싱글사인온 인프라에 대한 효과적인 모니터링과 탐지 시스템을 마련해야 한다”고 제안했다.

시그니아에 의하면 ‘골든 SAML’ 기술을 발휘하려면 공격자는 제일 먼저 피해 조직의 ADFS 서버에 대한 접근 권한을 확보해야 한다. 즉 비밀 키와 인증서를 훔치는 것이 수반되어야 한다는 것이다. 하지만 이런 공격의 난이도가 지금 시점에서 대단히 높은 것은 아니기 때문에 충분히 전제될 수 있는 조건이다.

사용자가 AWS나 MS 365와 같이 연합된(federated) 서비스들에 접근하려고 하면, 해당 서비스들은 사용자의 요청을 ADFS로 우회시켜 인증 과정을 먼저 통과하게 만든다. ADFS는 이 요청을 받고서 서명된 SAML 응답이나 토큰을 되돌려 보낸다. 사용자가 최초에 접근하려 했던 서비스들은 이 응답을 보고 사용자의 로그인을 허락해 준다.

골든 SAML은, 이런 과정에서 사용자의 접근 요청이 ADFS로 전달될 때를 노려 공격자가 조작한 SAML 응답을 내보내는 공격 기법이다. 이 공격에 성공할 경우 공격자들은 핵심 인프라에 지속적으로 접근할 수 있게 된다. 피해자가 ADFS 비밀 키를 폐지하고 다른 것으로 교체하지 않는 이상 공격자는 아무런 추가 해킹 공격 없이 마음대로 피해자 조직의 인프라로 들락날락 할 수 있는 것이다.

시그니아의 사건 대응 부문 부회장인 아리 질버스타인(Arie Zilberstein)은 “ADFS 서버들은 보통 0티어 인프라와 연결되어 있다”며 “대단히 삼엄한 보호를 받는 구성 요소”라고 설명한다. 또한 높은 권한을 가지고 있어야만 여기에 접근할 수 있도록 설정되어 있는 것이 보통이라고도 한다. “이번 솔라윈즈 사태에서 문제가 된 오리온(Orion) 플랫폼은 IT 모니터링 솔루션입니다. 따라서 대부분의 경우 대단히 높은 권한을 가지고 있고, 심지어 ADFS에 대한 접근 권한도 가지고 있을 때가 많습니다.”

질버스타인에 의하면 공격자들은 피해자들의 내부 네트워크로 침투하는 데 성공해 ADFS 환경에 접근한 뒤, 후속 익스플로잇 단계에서 골든 SAML 기법을 사용했다고 한다. 목적은 주요 네트워크 요소와 인프라에 주기적으로 접근하기 위함이었다. “서명이 된 인증서와 비밀 키를 ADFS 서버로부터 훔쳤으니 공격자들은 아무 때나 자기 집처럼 드나들 수 있었습니다.”

공격자들로 보이는 해커들이 SAML 토큰을 이용해 다중 인증 시스템을 뚫어냈다는 경고는 미국 국토안보부 산하 사이버 보안 담당 부서인 CISA와 마이크로소프트로부터 나오기도 했다. CISA는 “공격자들이 액티브 디렉토리 환경에 대한 높은 권한을 가져가 SAML 서명 인증서를 침해했다”고 경고를 발령했다. 그러면서 솔라윈즈 소프트웨어가 ADFS를 사용한 SAML 기반 인증을 하지 못하도록 설정하라는 지침도 연방 정부 기관들에 전달했다.

한편 사이버아크는 골든 SAML 공격 기법을 2017년에 발표하며, 공격이 어떤 식으로 진행되는지를 보여주는 도구도 함께 공개했었다. 그러면서 “골든 SAML 공격 기법은 조만간 해커들 사이에서 유행할 것”이라고 예언하기도 했었다. “결국 점점 더 많은 서비스들이 클라우드로 이주하기 때문에 이 공격은 유행할 수밖에 없습니다. SAML이 이런 클라우드로 치우친 인프라에서 신뢰의 핵심 요소이기 때문이죠.”

시그니아는 “불완전하지만 골든 SAML 공격을 탐지할 방법이 존재하긴 한다”고 자사 블로그를 통해 설명했다. 탐지는 온프레미스 ADFS 환경을 갖춘 조직들이 공격을 당할 때 가능하다고 한다. “ADFS 인증과 관련된 로그들을 모니터링 하고, 수상한 이벤트들을 서로 연결 짓는 것이 유일한 방법입니다. 특히 ADFS 서버로부터 서명 인증서가 엑스포트 되는 이벤트가 발생했을 때 주의해야 합니다.”

3줄 요약
1. 솔라윈즈 공격자들, ADFS 인증 메커니즘 조작해 피해 조직의 핵심 인프라에 꾸준히 접근.
2. ADFS에 접근해 비밀 키와 인증서를 훔쳐 SAML 응답을 조작하는 공격, ‘골든 SAML.’
3. 이 공격은 2017년부터 “클라우드의 강세가 뚜렷해지면 유행할 공격 방법”이라고 예견된 바 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>