와이든 상원의원, 랜섬웨어 취약점을 둘러싼 FTC 조사 촉구
론 와이든 미국 상원의원은 의료 서비스 제공업체 어센션(Ascension)에 대한 랜섬웨어 공격 이후, 연방거래위원회(FTC)에 마이크로소프트의 "중대한 사이버보안 과실"에 대한 조사를 공식 촉구했습니다. 와이든 의원은 마이크로소프트의 기본 소프트웨어 구성이 주요 인프라 네트워크를 공격에 노출시켰다는 주장에 대해 우려를 표명했습니다.
목차
트리거: 어센션 침해 및 기술적 취약점
- 사건 개요: 작년에 주요 의료 시스템인 Ascension은 Black Basta 라는 해킹 단체의 랜섬웨어 공격을 받아 약 560만 명의 개인이 피해를 입었습니다. 이 침해 사고에는 데이터 유출과 전자 건강 기록의 손상이 포함되었습니다.
- 초기 공격 벡터: Ascension 소속 계약자가 Microsoft Bing 검색 엔진을 통해 발견된 악성 링크를 클릭했습니다. 이 클릭은 공격자들이 Microsoft 소프트웨어의 안전하지 않은 기본 설정을 악용할 수 있는 연쇄 반응을 촉발했습니다.
- 기본 소프트웨어 취약점: 상원 의원의 서한에 따르면, 마이크로소프트 소프트웨어에는 위험할 정도로 안전하지 않은 기본 설정이 포함되어 있습니다. 핵심 문제 중 하나는 Kerberos 인증 프로토콜 내에서 RC4 암호화를 지원하는 것입니다. RC4는 암호화 연구에 의해 안전하지 않은 것으로 간주되는 레거시 암호입니다. 많은 최신 시스템에서는 더 이상 사용되지 않지만, 마이크로소프트의 경우 기본적으로 활성화되어 있습니다. 이로 인해 공격자는 Kerberoasting 이라는 기술을 사용하여 Active Directory에서 서비스 계정 자격 증명을 추출할 수 있었습니다.
기술적 세부 사항: Kerberoasting, 기본 암호 및 악용 가능한 취약점
- Kerberoasting 설명: Active Directory 환경에서 서비스 사용자 이름(SPN)을 가진 서비스 계정은 Kerberos 티켓을 요청합니다. 이러한 티켓이 RC4와 같은 취약한 암호를 사용하여 암호화된 경우, 공격자는 티켓을 획득한 후 오프라인 공격(예: 무차별 대입 공격 또는 암호 분석)을 수행하여 서비스 계정의 평문 자격 증명이나 비밀을 복구할 수 있습니다. 이 사례에서 Wyden의 사무실은 RC4로 보호된 티켓을 사용하여 침해가 발생했다고 주장합니다.
규제 및 정책 주장
- 와이든 상원의원의 비판은 단순한 침해를 넘어섭니다. FTC 위원장 앤드류 퍼거슨에게 보낸 4페이지 분량의 서한에서 그는 마이크로소프트가 기업 운영 체제에 대한 거의 독점적인 지위로 인해 더욱 심화된 "부주의한 사이버 보안 문화"라는 시스템적 문제를 안고 있다고 주장합니다. 와이든 상원의원은 날카로운 은유적 표현을 사용하여 마이크로소프트를 "피해자에게 소방 서비스를 판매하는 방화범"에 비유했습니다.
- 이 서한은 마이크로소프트의 기본 구성(즉, 기본적으로 레거시, 안전하지 않은 암호화 사용, 관대한 암호 정책)이 시간이 지남에 따라 여러 조직, 특히 의료 및 중요 인프라 분야의 기본 보안을 약화시켰다고 주장합니다. 이는 기본 설정 및 구성의 부주의가 단순한 IT 문제가 아니라 국가 안보 문제라는 점을 시사합니다.
Microsoft의 대응
- RC4가 시대에 뒤떨어진 기술이라는 점과 Microsoft가 "소프트웨어 엔지니어링 방식 및 고객 설명서"에서 RC4 사용을 권장하지 않는다는 점을 인정합니다. Microsoft는 전체 트래픽 중 RC4를 사용하는 비율이 0.1% 미만이라고 주장합니다. 그러나 Microsoft는 RC4를 즉시 완전히 비활성화할 경우 기존 환경과의 호환성 문제가 발생할 수 있다는 우려를 표명했습니다.
보안 위험 평가
- 공격 표면 및 연쇄적 결과: 소프트웨어 공급업체가 기본적으로 취약한 암호화 또는 취약한 비밀번호 정책을 허용하면 공격자에게 "간편한 공격 대상"이 됩니다. 보안에 민감한 시스템 관리자조차도 RC4를 허용하거나 취약한 자격 증명을 허용하는 구성을 상속받을 수 있으며, 특히 연속성과 레거시 호환성이 매우 중요한 환경에서는 더욱 그렇습니다.
- 취약점 악용: Kerberoasting 공격은 추측에 의존하는 것이 아닙니다. 이미 알려져 있고, 문서화되어 있으며, 여러 침해 사고에서 성공적으로 활용되었습니다. 서비스 계정 자격 증명이 유출되면 공격자는 측면 이동을 통해 권한을 상승시키고 민감한 자산에 접근할 수 있습니다. 의료 환경에서는 개인 건강 데이터, IoT 의료 기기, 중요 인프라 등이 여기에 포함될 수 있습니다.
- 규제 및 신뢰에 미치는 영향: Microsoft는 여러 중요 인프라 및 기업 환경에 깊이 자리 잡고 있기 때문에, 보안을 기본적으로 구성하지 못할 경우, 이러한 취약점을 감지할 전문성, 리소스 또는 가시성이 부족한 조직에 방어 부담이 자동으로 전가됩니다. 이로 인해 상당한 평판 손상과 책임 위험이 발생합니다.
규제적 의미
- 와이든 상원의원의 주장은 제품 책임 , 기본 보안 설정 , 그리고 공급업체 책임 에 대한 중요한 의문을 제기합니다. 소프트웨어 공급업체는 안전하지 않은 기본 설정에 대해 어느 정도까지 책임을 져야 할까요?
- FTC의 "불공정하거나 기만적인 행위 또는 관행" 조사 권한과 같은 규제 수단이 소프트웨어 보안 소홀에도 적용될 수 있습니다. 마이크로소프트의 과실이 인정될 경우, 널리 사용되는 소프트웨어의 기본 구성, 암호화 표준 및 암호 요구 사항이 어떻게 규제되는지에 대한 선례가 될 수 있습니다.
- 더 광범위한 규범적 문제도 있습니다. 바로 '기본 보안' 과 '선택적 보안'입니다 . 와이든의 입장은 기본 보안이 보안 강화에 유리해야 한다는 것입니다. 즉, 더 높은 비밀번호 강도, 취약한 암호화 알고리즘의 폐기, 그리고 안전한 구성이 기본으로 제공되어야 하며, 선택적인 토글 방식이어서는 안 된다는 것입니다.
와이든 상원의원이 FTC에 보낸 서한은 사이버 보안, 규제, 그리고 기업 책임의 융합을 강조합니다. 어센션 보안 침해는 단순한 사건이 아닙니다. 널리 사용되는 소프트웨어 오류, 취약한 암호화 표준, 그리고 레거시 호환성이 어떻게 결합하여 중요 인프라에 대한 대규모 공격을 촉발할 수 있는지를 보여주는 사례 연구입니다.
마이크로소프트가 안전하지 않은 암호를 단계적으로 폐지하고 지침을 발표함에 따라, 규제 메커니즘이 더욱 신속한 변화를 요구하고, 더 나은 기본 설정을 시행하며, 위험을 조장하는 공급업체에 책임을 묻게 될지에 대한 핵심적인 의문이 남습니다. 이 문제는 보안 연구원뿐만 아니라 규제 기관, 기업 고객, 그리고 일반 대중의 면밀한 검토가 필요합니다.