마이크로소프트는 중국의 Stome-0558 그룹이 윈도우 크래시 덤프에서 정부 이메일 계정을 침해하는 데 사용 가능한 서명키를 훔쳤다고 밝혔다. 크래시 덤프는 시스템에 오류가 발생할 때 오류의 원인 등을 기록해 놓은 파일이다.

Storm-0558 공격자들은 서유럽의 정부 기관을 노리고 사이버 스파이, 데이터 절도 및 크리덴셜 액세스 공격을 수행하는 것으로 확인됐다. 이 공격은 2023년 6월 16일 한 고객에 의해 보고됐다. 조사에 따르면 Storm-0558은 5월 15일부터 정부 기관 혹은 정부와 관련 있는 개인의 계정을 포함하여 약 25개 조직에 영향을 미치는 이메일 계정에 접근한 것으로 보인다.

공격자들은 획득한 MSA(Microsoft Account) 고객 서명키를 사용하여 이메일에 액세스하기 위해 인증 토큰을 위조했다. 마이크로소프트 연구원들은 공격자들이 획득한 MSA 키로 인증 토큰을 위조하여 OWA(Outlook Web Access in Exchange Online)와 Outlook.com에 접근하고, 토큰 유효성 검사를 이용해 Azure AD 사용자를 사칭함으로써 엔터프라이즈 메일에 접속했다.

공격자들은 마이크로소프트 엔지니어의 사내 계정에 오류가 생긴 후에 생성된 윈도우 크래시 덤프에서 정부 이메일 계정을 침해하는 데 사용되는 서명키를 훔쳤다. 마이크로소프트는 2021년 4월 고객 서명 시스템이 충돌한 후 MSA 키가 크래시 덤프에 실수로 노출된 것을 발견했다고 밝혔다.

마이크로소프트 측은 크래시 덤프에 서명 키가 포함되지 않아야 하지만 경쟁 상태(Race Condition)로 인해 서명키가 크래시 덤프에 남게 됐으며 현재는 이 문제를 해결했다고 설명했다.

마이크로소프트 관계자는 “크래시 덤프에서 회사 내부의 키가 유출된 2021년 4월 이후 Storm-0558 공격자들은 마이크로소프트 엔지니어의 기업 계정을 침해하는 데 성공했다. 이 계정은 오류로 인해 키가 노출된 크래시 덤프가 포함된 디버깅 환경에 액세스할 수 있었다”고 분석 결과를 발표했다.

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.

석주원 기자 다른기사 보기