Embedded Files
게시일: 2021. 4. 6 오전 4:30:43
| 입력 : 2021-04-02 18:20
조직 내 권한이 너무 높은 계정이나 애플리케이션, 혹은 프로세스가 존재한다는 건 범죄자들도 잘 아는 내용이다. 그리고 이를 정확히 노린다. ‘권한’은 이제 그들이 먼저 빼앗느냐, 내가 먼저 관리하느냐의 싸움이 벌어지는 전쟁터가 되었다.
[보안뉴스 문가용 기자] 최근 과도하게 높은 권한을 가진 계정들과 소프트웨어 프로세스들 때문에 발생하는 침해 사고들이 늘어나고 있다. 권한 높은 계정들에 대한 조직적 관리가 이뤄지지 않으면 공격자들이 장악해 위험하게 사용할 것이라는 뜻이다. 조직 내 권한 높은 계정들이라고 해서 항상 조직들만의 것이 아니다.
[이미지 = utoimage]
지난 달 영상 서비스 제공업체인 베르카다(Verkada)에서 관리자 계정이 침해되는 사건이 발생했다. 이 때문에 테슬라(Tesla)와 클라우드플레어(Cloudflare)와 같은 베르카다 고객사들의 카메라 장비와 영상 시스템들이 공격자들에게 노출됐다. 베르카다의 슈퍼 관리자 계정은 고객사 영상 스트림과 카메라에 무한정으로 접근할 수 있었기 때문이다. 그러니 단 한 번의 침해 사건으로 수많은 기업들이 피해를 입었다. 솔라윈즈(Solarwinds) 사태도 비슷한 관점에서 이해가 가능하다. 공격자들이 오염시킨 업데이트 프로세스 역시 높은 권한을 가지고 있었기 때문이다.
이러한 사고들은 독특하거나 이례적인 경우가 아니다. 지나치게 높은 권한을 가진 계정들은 어느 조직, 어느 시스템에나 존재한다. 그리고 이 권한들은 전부 남용에 노출되어 있다. 보안 업체 벡트라(Vectra)의 CTO인 팀 웨이드(Tim Wade)는 “관리자 계정만 문제가 되는 건 아니”라고 말한다. “권한이라는 것은 적절히 배포되어 있어야 합니다. 있냐 없냐의 문제가 아니라, 있을만한 곳에 있어야 한다는 겁니다. 하지만 조직 내에서 권한을 가지고 있지 않아야 할 사람들이 권한을 가지고 있는 경우는 흔히 볼 수 있죠.”
웨이드가 말하는 개념은 누구나 이해하고 있는 내용이다. 그러나 좀처럼 고쳐지지 않는 문제이기도 하다. 권한이 너무 높은 사용자와 애플리케이션 때문에 생기는 사고 소식은 거의 매일처럼 들린다. 2020년 오라클과 KPMG가 발표한 클라우드 위협 보고서에 의하면 기업들의 1/3 이상이(37%) 지나치게 권한이 높은 게정들을 하나 이상 가지고 있다고 하니 그럴 만도 하다.
“진짜 문제는 그러한 사실을 공격자들도 알고 있다는 겁니다. 뭔가를 공격한다고 했을 때, 어딜 노려야 할지, 뭘 찾아야 할지를 정확히 알고 있다는 것이죠. 그리고 높은 확률로 그것들을 찾아낼 수 있다는 뜻이고요.” 참고로 클라우드 위협 보고서에 의하면 기업들의 59%가 피싱 공격을 통해 권한이 높은 계정들을 탈취당한 경험이 있다고 한다.
권한이 그리 높지 않아도 문제가 되는 경우가 있다. 바로 디폴트 계정 혹은 기본 계정이다. 일부 OS들에서는 삭제가 되었지만 아직도 여러 환경과 장비, 시스템 내에 존재한다. 이 디폴트 계정들은 장비나 솔루션에 기본적으로 존재하는 계정으로 사용자 이름과 비밀번호가 대단히 쉽게 만들어져 있어 간단한 공격에 침해된다. 공격자들은 이를 발판으로 삼아 네트워크에서 횡적으로 움직여 관리자 계정으로 침투해 들어간다.
보안 업체 비욘드트러스트(BeyondTrust)의 CTO인 모리 하버(Morey Haber)는 “윈도의 경우 디폴트 로그인을 실행했을 때에 주어지는 권한이 너무 많다”고 지적한다. “MS가 줄여나가고 있긴 한데, 아직 더 권한을 없애야 한다”고도 덧붙였다. “그렇다고 매킨토시가 더 나은 것도 아니지만요. OS들의 디폴트 권한에 대한 깊은 고민이 필요합니다. 지금 상태로는 너무 권한이 높습니다.”
애플리케이션에서의 권한 문제도 항상 불거져 나온다. 솔라윈즈 사건이 정확히 여기에 포함된다. “솔라윈즈의 오리온(Orion)이라는 애플리케이션은 처음부터 높은 권한을 요구합니다. IT 모니터링 도구였으니까요. 거의 ‘갓모드(God Mode)’나 다름이 없었죠. 오리온 크리덴셜 딱 하나만 얻어내도, 사실 해당 네트워크의 거의 모든 것에 접근할 수 있다는 뜻이 됩니다. 공격자들이 오리온을 침해한 것도 그러한 이유 때문이죠.”
각종 권한 때문에 야기되는 문제들을 다루기 위해서 조직들은 먼저 어떤 관리자 계정이나 시스템 프로세스들이 존재하며, 점령된다고 했을 때 어떤 위험을 초래할 수 있는지 정확히 파악해야 한다. 즉 현황 파악의 노력이 필요하다는 것이다. 일부는 특정 그룹 일원들을 검색하는 방식으로 액티브 디렉토리(Active Directory)를 통해 알아낼 수 있다. 웨이드는 “그러나 이 단계를 다 이행하는 조직이 얼마 없을 정도로 고단하고 힘든 일”이라고 경고한다. 또한 “권한 높은 계정들에 대한 지속적인 모니터링도 중요하다”고 강조하기도 했다.
“현재 주어진 권한들에 대한 감사를 하는 데에 대부분의 조직들이 주력하죠. 중요한 일입니다만, 그것만으로는 충분하지 않습니다. 자원도 많이 들고, 사업 행위를 평소처럼 지속시키려는 노력과 충동할 때가 많습니다. 또한 대부분의 조직에서 사업성을 생각하는 데에 더 능숙하기 때문에 예를 들어 권한을 공유하지 않았을 때 생산성이 저하된다면 보안을 희생시켜도 된다는 결론에 쉽게들 도달합니다. 이 역시 바꿔야 할 문화 요소입니다.”
팬데믹이 지속되면서 재택 근무자가 많아졌다는 것 역시 높은 권한의 계정을 더 잘 관리해야 하는 이유다. “권한이라는 건 늘 유동성 있게 움직이는 겁니다. 그렇기에 조직 차원에서의 능동적인 관리가 필요하죠. 실시간으로 업무 상황에 따라 바꿀 수도 있어야 하고요. 머신러닝과 인공지능 기술이 가까운 미래에 도움을 줄 수도 있다고 봅니다.”
3줄 요약
1. 최근 일어나는 각종 보안 사고, 권한이 문제되는 경우가 많음.
2. 디폴트 계정에 높은 권한이 있는 경우, 프로세스의 권한이 너무 높은 경우, 애플리케이션이 갓모드인 경우.
3. 권한의 현황을 파악하고, 사업적 필요에 따라 유동적으로 ‘운영’하는 것이 핵심.
Page updated
Google Sites
Report abuse