WHfB의 기본 철학에 반한 한 전문가, 연구와 분석 하다가 되려 취약점 발견해
펌웨어나 소프트웨어 업데이트 해도 문제 여전히 남아 있어...공공 키부터 지워내야

[보안뉴스 문가용 기자] MS가 보안 얼마 전 문제가 된 윈도우 헬로 포 비즈니스(Windows Hello for Business, WHfB)와 관련된 보안 권고문 ADV190026을 발표했다. 윈도우 장비를 액티브 디렉토리(Active Directory)에서 삭제한 다음에도, 해당 액티브 디렉토리가 계속해서 존재한다면 공공 키도 그대로 존재하게 되는 게 이번 권고문을 통해 다뤄진 문제의 핵심이었다.


이 문제를 발견한 건 보안 및 IT 전문가인 마이클 그라프네터(Michael Grafnetter)다. 원래는 WHfB에 반해 내부 원리를 열심히 공부하다가 문제가 있음을 알아차렸다고 한다. “WHfB는 비밀번호 없이 사용자 인증을 해주는 도구로, 처음 나왔을 때부터 개인적 관심이 컸습니다. 비밀번호는 사라져야 할 인증 도구라고 보는 입장이기 때문입니다. 하지만 WHfB도 완벽한 건 아니더군요.”

그라프네터에 따르면 문제는 다음과 같다. “예를 들어 한 사용자가 WHfB를 설정했다고 합시다. 그러면 설정 시 사용됐던 WHfB 공공 키는 온프레미스의 액티브 디렉토리에 저장됩니다. 그 키들은 애저 액티브 디렉토리(Azure Active Directory)에 추가된 사용자나 장비와 관련이 있는 것이고요. 그런데 이 장비를 액티브 디렉토리에서 삭제하면 연결된 WHfB 키는 갈 곳을 잃게 됩니다. 삭제는 되지 않은 상태에서 말이죠. 물론 애저 AD로 인증해 들어갈 때 이렇게 근간을 잃은 키들이 사용되면 접근이 허락되지 않습니다만 하이브리드 클라우드나 온프레미스 환경에 있는 기업들이라면 이런 보호를 받을 수 없습니다.”

인증 과정을 통과한 공격자라면, 이렇게 떠돌아다니는 키들을 신뢰 플랫폼 모듈(TPM)에서 추출할 수 있게 된다고 그라프네터는 설명한다. “그 정보를 바탕으로 WHfB의 비밀 키도 계산해 추측할 수 있게 됩니다. 이런 식으로 비밀 키 탈취에 성공한 공격자는 드디어 사용자인 것처럼 로그인 할 수 있게 됩니다.”

중요한 건 TPM의 최신 펌웨어 및 소프트웨어 패치를 적용한다고 하더라도 위험이 지속된다는 것이다. “CVE-2017-15361에 영향을 받은 TPM들은 펌웨어와 소프트웨어 업데이트를 받았다고 하더라도 익스플로잇 할 수 있습니다. 공공 키가 액티브 디렉토리에 그대로 남아있는 게 문제의 단초이기 때문입니다.”

그래서 MS는 이번 보안 권고문을 통해 진작에 삭제되었어야 할 공공 키를 액티브 디렉토리에서 찾아 삭제하는 방법을 상세히 설명하고 있다. MS는 “공공 키를 제대로 삭제한 이후 패치와 업데이트를 진행하라”고 권고하기도 했다.

다행이라면, 이 취약점을 활용한 실제 공격이 발생했다는 증거나 징후를 아직까지 조금도 찾아낼 수 없었다는 것이다. MS도 “실제 피해자가 나타난 사례가 아직 없다”는 걸 강조했다.

3줄 요약
1. MS의 ‘비밀번호 없는 인증 장치’, WHfB에서 공공 키 무삭제 취약점 발견됨.
2. 액티브 디렉토리에서 장비를 삭제했다면 공공 키도 삭제되어야 하지만 실제는 그렇지 않았음.
3. MS는 보안 권고문 통해 액티브 디렉토리의 공공 키 삭제하는 방법 상세히 설명.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>