본문 바로가기 주메뉴 바로가기

최신IT소식

2021년 전망 - 계속되는 ‘제로로그온’ 위협

관리자 2021-01-27 조회수 115


2021년 전망 - 계속되는 ‘제로로그온’ 위협


2021년 마이크로소프트 플랫폼 관리와 관련된 8가지 전망 중에서 오늘은 ‘제로로그온 위협’에 대해 살펴보도록 하겠습니다.

 

‘정말로 큰’ 제로로그온 피해

제로로그온은 마이크로소프트가 2020년 8월 CVE-2020-1472에서 공개한 윈도우 MRPC(Netlogon Remote Protocol)의 치명적인 취약점입니다. 프로토콜의 한 가지 결함이라고 하면 사소하게 들릴 수도 있지만, 넷로그온은 AD(Active Directory)의 핵심 인증 구성요소입니다. 기본적으로 넷로그온이 하는 일은 컴퓨터와 도메인 컨트롤러(Domain Controller, DC) 사이에 보안 채널을 제공하는 것입니다.

 

따라서, 제로로그온은 매우 특수한 성격의 취약점입니다. 해커는 이 취약점을 악용해서 루트 도메인 컨트롤러를 포함한 어느 컴퓨터로든 가장할 수 있습니다. 조직 관점에서 이것이 얼마나 치명적일 수 있는지 적절히 표현하기가 어려울 정도입니다. 성공적인 공격자는 여러분의 IT 환경에서 자신이 원하는 거의 모든 일을 할 수 있게 됩니다.

 

게다가 네덜란드 보안업체 시큐라(Scura)에 따르면, 악의적인 행위자는 취약한 DC와의 TCP 연결을 설정하는 단 한 가지 단계만 통과하면 제로로그온을 이용할 수 있습니다. 이 말은 공격자가 네트워크에 침투는 해야 하지만, 도메인 인증 정보까지는 필요 없다는 의미입니다. 또한, 취약한 DC만 인터넷에서 접근이 가능한 것이 아니란 의미이기도 합니다. 제로로그온은 이미 네트워크에 침입한 상태의 모든 사이버 범죄자에게 절호의 특권 승격 기회를 제공합니다. DC 중 하나에라도 제로로그온 결함이 남아 있는 한, 전체 IT 인프라가 취약해집니다.

 

예상된 대로, 산업 표준 CVSS(Common Vulnerability Scoring System)은 제로로그온에 소프트웨어 결함의 최대 심각도 등급인 10점을 부여했습니다.

 

경계가 필요하다

일부 취약점은 대체로 이론상의 취약점에 그친다는 말은 사실입니다. 이용할 수는 있지만, 상당한 노력이 필요한 반면, 그에 따른 이득은 극히 미미하기 때문에 굳이 그 취약점을 이용하려는 사람이 거의 없기 때문입니다. 제로로그온은 당연히 그런 취약점에 해당하지 않습니다.

 

결함을 악용하기가 비교적 간단함에도 거의 전능한 권한을 얻게 되므로 악의적 행위자들이 적극적으로 공격 목표로 삼을 것이라고 봐야 합니다. 사실 무기화된 개념 증명 익스플로잇 코드의 여러 버전을 이미 온라인에서 무료로 다운로드 할 수 있습니다. 첫 번째 버전은 시큐라가 9월 14일 이 취약점의 세부 사항을 게시하고 불과 몇 시간 후에 올라왔습니다. 제로로그온은 악용하기가 너무 쉬워서 해커는 많은 시간을 들일 필요도 없고 고급 기술도 필요 없습니다.

 

9월 말, 마이크로소프트의 보안 인텔리전스 부서는 제로로그온 공격이 실제 환경에서 벌어지고 있음을 확인하고, “공격자의 플레이북에 공개 익스플로잇이 포함된 공격을 확인했다”라는 트윗을 올렸습니다. 마이크로소프트 엔지니어링 부문 부사장은 10월 말 계속되는 제로로그온 악용에 대해 경고하며, 모든 고객에게 최대한 신속하게 조치를 취할 것을 촉구했습니다.

 

좀처럼 드문 일로, 미국 CISA(Cybersecurity & Infrastructure Security Agency)는 모든 민간 정부 기관에 즉시 제로로그온에 대한 조치를 취할 것을 요구하는 비상 명령까지 내렸습니다. 이에 대해 한 보안 전문가는 일부 연방 정부 부처가 이미 이 취약점으로 인해 공격을 받았을 것이라고 추측하기도 했습니다.

 

아직 DC를 업데이트하지 않았다면, 당장 실행하라 ?

8월 11일(패치 화요일), 마이크로소프트는 윈도우 업데이트를 배포하고 모든 조직이 모든 DC에 즉시 적용할 것을 권고했습니다. 이 업데이트는 AD 도메인 및 신뢰 보안 문제, 그리고 지원되는 윈도우 버전을 실행하는 디바이스의 보안 문제를 수정합니다.

 

또한, 조직은 서드파티 디바이스에 대한 보안 문제를 완화하기 위해 새로운 FullSecureChannelProtection 레지스트리 키를 사용해서 모든 머신 계정에 대해 DC 강제 모드를 활성화해야 합니다. 강제 모드가 활성화되면 DC는 취약한 넷로그온 보안 채널 연결을 거부합니다.

 

2021년에도 제로로그온이 골치 아픈 문제가 될 이유

제로로그온이 2021년에도 계속해서 관리자와 보안 전문가의 골칫거리가 될 것으로 전망하는 이유는 무엇일까요? 많은 조직이 마이크로소프트의 8월 업데이트를 아직도 적용하지 않았다는 문제도 있습니다! 이와 같은 조직의 IT 전문가들은 곧 무척 바빠질 것입니다.

 

하지만 다른 문제도 있습니다. 패치를 적용하고 강제 모드를 활성화할 경우, 정상적인 비즈니스 프로세스가 중단될 수 있다는 것입니다. 조직에는 취약한 넷로그온 연결에 의존하는 머신 계정이 존재할 가능성이 충분합니다. 이 경우 연결을 차단하면 해당 계정에 의존하는 모든 비즈니스 프로세스가 중단됩니다.

 

임시 해결책은 계속 사용해야 하는 미준수 디바이스에 대해 강제 모드 예외를 설정하는 것입니다. 새 그룹 정책 “도메인 컨트롤러: 취약한 Netlogon 보안 채널 연결 허용(Domain controller: Allow vulnerable Netlogon secure channel connections)”의 허용 목록을 사용하면 됩니다. 그러나 이 경우 일부라도 취약한 연결을 사용하게 됩니다. 마이크로소프트도 지적했듯이 “허용 목록의 모든 디바이스는 취약한 연결을 사용하도록 허용되며, 환경을 제로로그온 공격에 노출시킬 수 있습니다.”

 

마이크로소프트는 8월 패치 및 관련된 조치가 제로로그온 취약점에 대한 부분적인 해결책일 뿐임을 인지하고 있습니다. 그에 따라 2021년 2월로 예정된 위험 완화 전략의 두 번째 단계를 계획하고 있습니다. 이 시점에는 모든 윈도우 DC에서 강제 모드가 활성화되며 임의로 비활성화할 수 없게 됩니다. 따라서 (A) 비즈니스가 더 이상 미준수 디바이스에 의존하지 않도록 하거나 (B) 필요한 모든 디바이스를 그룹 정책 허용 목록에 추가하고 그에 수반되는 위험을 감수하거나, 둘 중 하나를 선택해야 합니다.

 

네트워크에서 일어나는 변경 및 기타 활동을 면밀히 모니터링하는 것은 어떤 경우에도 최선의 보안 방법이지만, 이 허용 목록에 디바이스를 둘 경우에는 지속적인 감사가 절대적으로 필요합니다. 특히, 어떤 계정에서 평상시에 사용하지 않는 서비스와 개체에 액세스하는 경우에는 이를 인지할 수 있어야 하며, 가장 중요한 AD 개체를 애초에 수정되지 않도록 잠가야 합니다.  

  • 등록된 댓글이 없습니다.