search
ko한국어
banner
홈페이지 / 블로그 / 클라우드 결함이 중국 스파이에게 마이크로소프트 왕국의 열쇠를 준 방법
블로그
pageSearch
최근 뉴스

클라우드 결함이 중국 스파이에게 마이크로소프트 왕국의 열쇠를 준 방법

Feb 10, 2024Feb 10, 2024

앤디 그린버그

대부분의 IT 전문가에게 클라우드로의 전환은 신의 선물이었습니다. 데이터를 직접 보호하는 대신 Google 또는 Microsoft의 보안 전문가가 데이터를 보호하도록 하세요. 그러나 도난당한 키 하나로 해커가 수십 개 조직의 클라우드 데이터에 액세스할 수 있게 되면 그 절충안은 훨씬 더 위험해 보이기 시작합니다.

화요일 늦은 저녁, Microsoft는 Storm-0558이라고 불리는 중국 기반 해커 그룹이 바로 그 일을 했다고 밝혔습니다. 서유럽 정부에 대한 스파이 활동에 초점을 맞춘 이 그룹은 여러 정부 기관을 포함해 25개 조직의 클라우드 기반 Outlook 이메일 시스템에 액세스했습니다.

CNN에 따르면 이러한 목표에는 국무부를 포함한 미국 정부 기관이 포함되어 있지만 미국 관리들은 여전히 ​​침해의 전체 범위와 결과를 파악하기 위해 노력하고 있습니다. 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)의 권고에 따르면 지난 6월 중순 미국 정부 기관에 의해 감지된 침해 사고는 "소수 계정"에서 분류되지 않은 이메일 데이터를 훔쳤습니다.

중국은 수십 년 동안 서방 네트워크를 끊임없이 해킹해왔습니다. 그러나 이 최신 공격은 독특한 트릭을 사용합니다. Microsoft는 해커들이 자체 인증 "토큰"(사용자의 신원을 증명하기 위한 정보 문자열)을 생성할 수 있는 암호화 키를 훔쳐 수십 개의 Microsoft 고객 계정을 자유롭게 제어할 수 있다고 밝혔습니다.

전직 NSA 해커였으며 현재 보스턴에 있는 응용 네트워크 보안 연구소에서 강의하고 있는 제이크 윌리엄스(Jake Williams)는 "우리는 여권을 믿었는데 누군가 여권 인쇄 기계를 훔쳤습니다."라고 말합니다. "Microsoft만큼 큰 규모의 기업에서는 그렇게 많은 고객이 영향을 받거나 이로 인해 영향을 받을 수 있었던 경우는 전례가 없는 일입니다."

웹 기반 클라우드 시스템에서 사용자의 브라우저는 원격 서버에 연결하고 사용자 이름 및 비밀번호와 같은 자격 증명을 입력하면 해당 서버로부터 토큰이라고 하는 약간의 데이터가 제공됩니다. 토큰은 사용자가 가끔씩만 자격 증명을 다시 입력하면서 클라우드 환경 내에서 원하는 대로 드나들 수 있도록 하는 일종의 임시 신분증 역할을 합니다. 토큰이 스푸핑될 수 없도록 하기 위해 클라우드 서비스가 보유하고 있는 인증서 또는 키로 알려진 고유한 데이터 문자열(위조할 수 없는 진위 스탬프와 같은)을 사용하여 암호화 방식으로 서명됩니다.

렉시 판델

리드 맥카터

안젤라 워터커터

줄리안 초카투

Microsoft는 중국 Outlook 침해를 폭로하는 블로그 게시물에서 해당 인증 시스템의 일종의 2단계 분석을 설명했습니다. 첫째, 해커는 Microsoft가 클라우드 서비스의 소비자 등급 사용자를 위한 토큰에 서명하는 데 사용하는 키를 훔칠 수 있었습니다. 둘째, 해커는 Microsoft 토큰 검증 시스템의 버그를 악용하여 훔친 키로 소비자급 토큰에 서명한 다음 이를 사용하여 대신 엔터프라이즈급 시스템에 액세스할 수 있었습니다. 이 모든 일은 Microsoft가 서로 다른 등급의 토큰에 대해 서로 다른 키의 서명을 확인하려는 시도에도 불구하고 발생했습니다.

마이크로소프트는 이제 훔친 키로 서명된 모든 토큰을 차단하고 키를 새 키로 교체해 해커가 피해자의 시스템에 접근하는 것을 막았다고 밝혔습니다. 회사는 도난 사건이 발생한 이후 "핵심 관리 시스템"의 보안을 개선하기 위해 노력했다고 덧붙였습니다.

그러나 이렇게 광범위한 액세스를 허용하는 민감한 키가 처음에 어떻게 도난당할 수 있었는지는 아직 알려지지 않았습니다. WIRED는 Microsoft에 연락했지만 회사는 더 이상의 언급을 거부했습니다.

Microsoft에서 더 자세한 정보를 제공하지 않는 상황에서 도난이 어떻게 발생했는지에 대한 한 가지 이론은 토큰 서명 키가 실제로 Microsoft에서 전혀 도난당한 것이 아니라는 것입니다. 올해에는 Google 클라우드에서 토큰 보안 문제가 발견되었습니다. 이전 Outlook 설정에서는 서비스가 Microsoft 클라우드가 아닌 고객이 소유한 서버에서 호스팅되고 관리됩니다. 이로 인해 해커가 고객 네트워크의 이러한 "온프레미스" 설정 중 하나에서 키를 훔칠 수 있었을 수도 있습니다.

이전의: 최고의 콜드 프레스 주스기 다음: 최고의 주서기(2023), 테스트 및 검토됨
문의 보내기
보내다