CISA가 발표한 Microsoft 침해 사건 보고서를 떠올리게 됨
국가 지원 해커가 Microsoft를 뚫고 미 국무부 등 여러 기관에 침투한 사건이었음
놀라운 점은 Microsoft가 아니라 국무부의 한 시스템 관리자가 메일 로그 이상을 발견해 침입을 찾아냈다는 것임 CISA 보고서 링크
ProPublica와 ArsTechnica가 Azure를 정면 비판한 기사에서, 연방 사이버 전문가들이 Microsoft 클라우드를 “형편없다”고 표현했다고 함 기사 링크
실제로는 한 전문가가 문서 품질을 그렇게 표현했는데, ProPublica가 Azure 전체로 확대 해석한 것 같음
Ars는 단순히 라이선스 재게시한 것뿐임
내가 아는 Azure 보안 엔지니어들은 거의 멘탈 붕괴 상태임. 약 12명 중 절반은 번아웃, 나머지는 역량이 너무 낮음
Bloomberg나 CNBC는 이 사건을 다루지 않았음. 누군가 언론 연결망으로 알려줬으면 함
지금의 사이버보안 상태는 문명 전체가 의존하는 시스템치고는 너무 허술함
마치 구멍 난 배를 덕트테이프로 막고 대양으로 나가는 꼴임
더 심각한 건, 업계가 그 구멍을 막겠다며 기관총 탑을 더 세우자는 식으로 대응한다는 점임
SQL 로그 관련 논의에서, 공격자가 너무 긴 입력을 보내 컬럼 길이 초과로 INSERT가 실패한 상황으로 보임
그 결과 로그인 시도 기록이 남지 않았다는 설명임
두 서비스가 따로 동작하는 구조였음. 검증 서비스가 실패를 감지하고 로그 서비스에 기록을 요청했지만, 로그 서비스가 실패해도 검증 서비스는 그대로 응답을 보냈음
인증 흐름이 너무 복잡하게 설계된 구조적 문제로 보임
Azure의 감사 로그가 실제 동작과 다르게 기록된 경험이 있음
클라이언트 시크릿을 삭제했는데, UI는 B를 지운다고 했지만 API는 A만 남기는 식으로 동작함
결국 로그에는 내가 한 것처럼 기록됐지만 실제로는 시스템 버그였음
이런 경험 이후로 Azure 로그뿐 아니라 감사 로그 전반에 대한 신뢰가 흔들렸음
법정에서 증거로 쓰기엔 위험하다고 생각함
그래서 나는 변경 전 확인 단계를 반드시 거치는 UI를 선호함. ‘비디오게임식’ 자동 저장 인터페이스는 너무 위험함
Azure 포털(신버전, 구버전 포함)은 버그 투성이라 놀랍지도 않음. 버튼 하나 잘못 눌러 다른 객체가 바뀌는 경우도 있음
이 사례는 동시 편집 환경에서 set 연산 vs delete 연산의 위험성을 보여주는 좋은 교육 예시임. 로그는 정확했지만 UI 설계가 문제였음
결국 사용자는 단지 의도를 표현할 뿐, 실제 실행은 프런트엔드가 제어한다는 점이 무섭게 느껴짐
최근 EntraID 취약점들에 비하면 로그 우회는 덜 중요해 보임
하지만 핵심 인증 로그가 ‘best-effort’로만 작동한다면, 보안 감사의 근거로는 심각한 문제임
결국 성공적이고 은밀한 공격은 여러 취약점의 협업으로 이루어지는 법임
Microsoft가 Notepad에도 치명적 취약점을 넣은 적이 있으니, 이런 일은 놀랍지 않음
예전에 Azure VPN을 평가했을 때, 연결 성공/실패 로그가 전혀 남지 않았음
문제를 제기하자 Microsoft는 “그걸 새 기능 요청으로 등록하라”고 했음
그때 Azure에 대한 신뢰를 완전히 잃음. 시간이 지나도 나아지지 않고 오히려 악화되는 느낌임
IT 관리자들이 Microsoft를 계속 쓰는 이유는 선택지가 없기 때문임
나처럼 .NET 기반 LOB 앱과 각종 SaaS를 관리해야 하는 환경에서는 Microsoft 솔루션이 가장 현실적인 선택임
예산도 적고 인력도 부족하니, 그냥 급여 받고 퇴근할 수 있는 수준으로만 유지함
젊은 관리자들은 Microsoft를 싫어하는 경향이 강함. 세대 차이일 수도 있음
“아무도 X를 사서 해고된 적은 없다”는 말처럼, Microsoft 선택은 커리어 리스크가 적음
Microsoft가 Azure 취약점 재현에 실패해 영상 증거를 요청했을 때, 단 한 줄의 curl 명령어로 보여줬다는 점이 인상적이었음
정말 통쾌한 순간이었음
Hacker News 의견들
CISA가 발표한 Microsoft 침해 사건 보고서를 떠올리게 됨
국가 지원 해커가 Microsoft를 뚫고 미 국무부 등 여러 기관에 침투한 사건이었음
놀라운 점은 Microsoft가 아니라 국무부의 한 시스템 관리자가 메일 로그 이상을 발견해 침입을 찾아냈다는 것임
CISA 보고서 링크
Windows 시절의 문제를 그대로 클라우드로 옮겨왔고, 테넌트 간 격리 실패 사건이 두 번이나 있었음
관련 기사: Azure’s Security Vulnerabilities Are Out of Control / Microsoft comes under blistering criticism for “grossly irresponsible” security
ProPublica와 ArsTechnica가 Azure를 정면 비판한 기사에서, 연방 사이버 전문가들이 Microsoft 클라우드를 “형편없다”고 표현했다고 함
기사 링크
지금의 사이버보안 상태는 문명 전체가 의존하는 시스템치고는 너무 허술함
마치 구멍 난 배를 덕트테이프로 막고 대양으로 나가는 꼴임
SQL 로그 관련 논의에서, 공격자가 너무 긴 입력을 보내 컬럼 길이 초과로 INSERT가 실패한 상황으로 보임
그 결과 로그인 시도 기록이 남지 않았다는 설명임
인증 흐름이 너무 복잡하게 설계된 구조적 문제로 보임
Azure의 감사 로그가 실제 동작과 다르게 기록된 경험이 있음
클라이언트 시크릿을 삭제했는데, UI는 B를 지운다고 했지만 API는 A만 남기는 식으로 동작함
결국 로그에는 내가 한 것처럼 기록됐지만 실제로는 시스템 버그였음
이런 경험 이후로 Azure 로그뿐 아니라 감사 로그 전반에 대한 신뢰가 흔들렸음
법정에서 증거로 쓰기엔 위험하다고 생각함
최근 EntraID 취약점들에 비하면 로그 우회는 덜 중요해 보임
Microsoft가 Notepad에도 치명적 취약점을 넣은 적이 있으니, 이런 일은 놀랍지 않음
예전에 Azure VPN을 평가했을 때, 연결 성공/실패 로그가 전혀 남지 않았음
문제를 제기하자 Microsoft는 “그걸 새 기능 요청으로 등록하라”고 했음
그때 Azure에 대한 신뢰를 완전히 잃음. 시간이 지나도 나아지지 않고 오히려 악화되는 느낌임
IT 관리자들이 Microsoft를 계속 쓰는 이유는 선택지가 없기 때문임
예산도 적고 인력도 부족하니, 그냥 급여 받고 퇴근할 수 있는 수준으로만 유지함
Microsoft가 Azure 취약점 재현에 실패해 영상 증거를 요청했을 때, 단 한 줄의 curl 명령어로 보여줬다는 점이 인상적이었음
정말 통쾌한 순간이었음