Microsoft가 인증한 모든 것이 오염됐다는 경고
(graz.social)- Karl Voit는 Microsoft Azure 클라우드가 사실상 해킹됐고, 격리 조치 부족으로 후속 사고가 공개되기 시작했다고 봄
- 공개 사례로 미국 국무부 계정 10개에서 이메일 60,000개가 탈취됐다는 Reuters 보도를 연결함
- 핵심 우려는 Microsoft가 침입자를 제거하지 못했거나 제거하지 않고 있어, Microsoft 인증 기반 시스템 전체를 신뢰하기 어렵다는 점임
- 오염 범위에는 Windows 인증이 포함되며, 해킹된 Azure 인증서와 GitHub 사이에 내부 신뢰 관계가 있다면 GitHub도 영향을 받는다고 봄
- GitHub 의존성이 큰 NixOS 사용 환경까지 불안 요소로 이어지며, 클라우드에서는 사용자가 자기 데이터를 통제하기 어렵다는 문제로 확장됨
Azure 해킹과 격리 실패 우려
- Karl Voit는 Microsoft Azure 클라우드 전체가 사실상 해킹됐다고 표현함
- 관련 출처 목록은 자신의 글 You Can't Control Your Data in the Cloud에 모아두었다고 밝힘
- 문제의 핵심은 해킹 자체보다, 이후 격리 조치가 충분하지 않아 후속 사고가 공개되기 시작했다는 판단에 있음
미국 국무부 이메일 탈취 사례
- 후속 사고 사례로 미국 국무부 계정 10개에서 이메일 60,000개가 탈취됐다는 Reuters 보도를 제시함
- 링크된 Reuters 보도는 중국 해커가 Microsoft 해킹을 통해 미국 국무부 이메일 60,000개를 훔쳤다는 내용임
- 이 사례는 Microsoft 해킹 이후 실제 피해가 이어지고 있다는 근거로 연결됨
Microsoft 인증 체계에 대한 불신
- Voit는 Microsoft가 침입자를 제거하지 못했거나, 제거하지 않고 있다고 봄
- 그 결과 Microsoft가 인증한 모든 것이 tainted, 즉 오염된 상태라고 판단함
- 오염 범위에는 Windows 인증도 포함된다고 명시함
GitHub와 NixOS로 이어지는 우려
- 후속 글에서는 해킹된 Azure 인증서와 GitHub 사이에 Microsoft 내부 신뢰 관계가 있다면, GitHub도 해킹됐거나 오염된 것으로 간주해야 한다고 말함
- 일부 호스트를 NixOS로 이전한 뒤에도 Microsoft와 GitHub 문제 때문에 불안감이 남아 있다고 밝힘
- 자신의 NixOS 경험 글 I Started With Nix, NixOS, Home Manager and Flakes에서 언급한 깊은 GitHub 의존성이 이 OS의 큰 단점으로 드러났다고 봄
클라우드 데이터 통제 문제
- 연결된 글 You Can't Control Your Data in the Cloud는 Azure와 Microsoft 인증 문제를 클라우드 데이터 통제 문제로 확장함
- Mastodon 글의 경고는 Microsoft 인증과 내부 신뢰 관계에 기대는 시스템 전반을 신뢰하기 어렵다는 데 맞춰져 있음
댓글과 토론
Hacker News 의견들
-
Microsoft의 사고 블로그 글 중 완화와 강화 섹션을 보면, 6월 26일 OWA가
GetAccessTokensForResource에서 발급된 토큰의 갱신을 받지 않도록 했고, 6월 27일에는 탈취된 MSA 키로 서명된 토큰 사용을 OWA에서 차단했으며, 6월 29일에는 키 교체와 당시 유효했던 MSA 서명 키 폐기를 완료했다고 함
7월 3일에는 이미 발급된 토큰 악용을 막기 위해 영향을 받은 모든 소비자 고객에 대해 해당 키 사용을 차단했다고 되어 있음
보안 전문가는 아닌데, 이 전략의 구멍은 무엇인지 궁금함- 문제는 그 사이에 공격자가 탈취된 키로 무엇을 했는지 검증할 방법이 없다는 점임
변경 불가능한 영구 감사 로그가 있다면 유출 키가 직접·간접적으로 서명한 인증으로 수행된 모든 작업을 추적할 수 있지만, 최고 권한을 가진 사람도 조작할 수 없는 감사 로그를 만드는 건 쉽지도 싸지도 않음
최악의 경우 감사 로그에 인증된 신원만 있고 인증 방식은 없어, 침해 가능 접근을 쉽게 식별하지 못할 수도 있음
결국 이 전략의 구멍은 유출 키로 접근 가능했던 동안 추가된 지속성 백도어를 고려하지 않는다는 데 있음. 더 이상의 악용은 막지만, 키가 탈취된 방식으로 보아 공격자가 매우 정교했다면 2차 접근 경로를 얼마나 만들어 뒀는지 파악하기는 거의 불가능함 - 큰 문제는 공격자가 그 자격 증명을 가진 기간 동안 어떤 다른 구멍이나 백도어를 넣었는지 알 방법이 없다는 것임. 새 키도 즉시 얻을 수 있게 해뒀을 수도 있음
- 이 항목들은 “키가 침해됐고 아직 쓰이고 있다”거나 “모든 것이 오염됐다”는 제목과는 오히려 충돌하는 것처럼 보임
- 문제는 그 사이에 공격자가 탈취된 키로 무엇을 했는지 검증할 방법이 없다는 점임
-
이 문제는 Azure와 Microsoft에 국한된 것으로 보이고, AWS와 GCP는 괜찮다고 봄
Microsoft는 지금까지 본 것 중 최악 수준의 보안 취약점과 관행을 갖고 있음. Fortune 500 대기업 임원들이 어떻게 워크로드를 Azure로 옮기는지 도저히 이해가 안 됨
일부 영역에서 Azure의 유일한 판매 포인트는 Amazon이 경쟁자라는 것뿐임. Amazon이 AWS를 그냥 독립된 것으로 두면 좋겠음
Microsoft가 보안을 끌어올리길 바라지만, 이쯤 되면 거의 가망이 없어 보임- Microsoft는 Active Directory와 Office 365로 비기술 기업을 끌어들인 뒤, 모든 서비스와의 좋은 통합을 약속하며 붙잡아 둠
일단 회사들이 Azure 대시보드 안에 들어오면, 거기서 제공하는 멋져 보이는 서비스도 한번 써보게 되는 구조임
전부 연막과 거울 같지만 효과는 있음 - 거의 모든 조직은 이미 Windows, AD, Office, Teams, Exchange 등과 관련해 Microsoft와 거대한 계약을 맺고 있고, 핵심 IT에 깊게 통합돼 있음
그래서 조직이 이미 AWS를 공급업체로 등록해두지 않았다면, 보통 기존 공급업체를 밀어붙이는 편이 더 쉬움 - CTO와 시스템 관리자 탓도 있음. 익숙해서 그 스택에 묶여 있거나, CTO가 “Gartner 우상단 사분면 옵션을 골라서 해고된 사람은 없다”는 식으로 강제했기 때문임
- 1996~1997년에 미군 연방 계약자로 일했을 때, 보안이 더 낫다는 이유로 Windows 웹 서버를 Macintosh 서버로 교체했었음
나도 Windows 2000 Pro 웹 서버를 운영하다가 보안 부족 때문에 Linux로 바꿨음
Microsoft는 인기가 있을 수는 있지만, 보안에는 큰 구멍이 있고 항상 그래 왔음 - “이 문제”는 그렇다는 것임
서비스는 클라우드든 고객 관리형이든 자주 침해됨. Microsoft에는 성숙하고 전문적이며 효과적인 보안팀이 있음
구현 결함과, 개인적인 추측으로는 한 명 이상의 부패한 내부자 때문에 침해당한 것임
대부분의 조직은 대체 무슨 일이 벌어졌는지 알지도 못했을 것이고, 공개된 내용을 식별하지도 못했을 가능성이 큼
지나고 보면 다 쉬워 보이는 법임
- Microsoft는 Active Directory와 Office 365로 비기술 기업을 끌어들인 뒤, 모든 서비스와의 좋은 통합을 약속하며 붙잡아 둠
-
너무 과장된 표현임. 확실히 나쁜 침해였고 아직 범위를 완전히 이해하지 못했을 수는 있지만, “백도어와 자체 제작 키를 곳곳에 심을 수 있었다”에서 핵심은 할 수 있었다는 것, 즉 “내가 아는 바로는 이론적으로 가능하다”이지 실제로 했다는 뜻은 아님
“Microsoft의 모든 것이 해킹됐고 침입자를 제거할 수 없거나 하지 않는다. Microsoft가 인증한 모든 것이 오염됐고 Windows 인증까지 그렇다”는 결론도 과격함
Microsoft의 대응은 키를 교체했고 더 안전한 저장소로 옮겼다고 명확히 말하는 것처럼 보임. 공격자를 제거했다고 말하지는 않지만, 공격이 진행 중이라고도 말하지 않음. 모든 인증이 영원히 망가졌다는 의미도 아님
내려진 결론이 극단적이라고 느낌
https://msrc.microsoft.com/blog/2023/09/results-of-major-tec...- Microsoft의 익스플로잇 조사 보고서를 링크했는데, 공격자는 먼저 Microsoft 개발 네트워크에 접근했고, 크래시 덤프를 발견했으며, 그 의미를 이해하고 뒤져서 개인 키를 찾은 다음, Microsoft 인증 시스템을 충분히 파악해 그 키를 원래 목적을 넘어 어떻게 사용할 수 있는지 이해하고 실행했음
그런데도 유명 표적에 지속성 백도어를 남기지 않았다고 믿는 건가 싶음
여기서 내려진 결론은 전적으로 타당함. 일반 공개 클라우드 고객에게는 그 주장이 어쩌면 말이 될 수도 있음. 무차별 백도어는 발견 위험만 키우기 때문임
하지만 대기업과 정부 사용자는 침해를 가정해야 하고, 그렇지 않으면 믿기 어려울 만큼 순진한 태도임
참고:
https://www.microsoft.com/en-us/security/blog/2023/07/14/ana...
Storm-0558은 높은 수준의 기술적 작전 능력과 운영 보안을 갖추고 있으며, 표적 환경, 로그 정책, 인증 요구사항, 정책과 절차를 잘 알고 있다고 Microsoft도 적고 있음 - 보안 관점에서는 잠재적 영향과 가능한 시나리오를 고려하면 단순히 “가능”하다고만 볼 수 없고, 현실이라고 가정해야 함
제로데이 취약점을 찾았을 때 “아마 다른 사람은 없을 것”이라며 패치를 무시하지는 않음 - Microsoft는 심어진 바이너리와 잘못된 설정을 제거하는 데 필요한 모든 리소스와 연방 기관 지원까지 받을 것이라고 봄
- Microsoft의 익스플로잇 조사 보고서를 링크했는데, 공격자는 먼저 Microsoft 개발 네트워크에 접근했고, 크래시 덤프를 발견했으며, 그 의미를 이해하고 뒤져서 개인 키를 찾은 다음, Microsoft 인증 시스템을 충분히 파악해 그 키를 원래 목적을 넘어 어떻게 사용할 수 있는지 이해하고 실행했음
-
이 사건은 너무 적게 보도됐고 잠재적 영향은 엄청날 수 있음. Microsoft에 대한 불만은 이거임: 키가 2021년에 유출됐고 2023년에도 여전히 인증 토큰에 서명하고 있었는데, 정작 Azure 서비스 중에는 사용자가 2년짜리 자격 증명을 넣을 수 있는 게 하나도 없음
전형적인 “내가 시키는 대로 하되, 내가 하는 대로 하지는 마라” 사례임- CA/Browser Forum이 어떤 PKIX CA가 서명 키 통제권을 잃고도 폐기하지 않은 채, 아무에게도 알리지 않고 2년 동안 계속 사용했다는 사실을 알게 되면 어떻게 했을지 상상해보면 됨
- 이해한 게 맞다면 HSM조차 쓰지 않았고, 완화 계획에도 HSM 사용이 포함되지 않았음. 이건 괜찮지 않음
- 이 이야기에서 최악인 부분은 그 키들이 애초에 맞는 키도 아니었다는 것임. 어떤 클라이언트에 발급되고 범위가 제한된 키였는데 범위 검사가 깨져 있었음. 전반적으로 믿기 어려울 만큼 나쁨
- 여전히 최대 2년까지 지속되는
app registration secrets를 만들 수 있음. 얼마 전까지는 사실상 무기한 비밀값도 만들 수 있었음
-
이건 지나치게 과장되고 경고주의적으로 보임. 출처들이 글에서 주장하는 침해 범위, 즉 “Microsoft 전체”를 입증한다고 생각하지 않음
오히려 일시적인 키 유출이 있었고 이후 폐기된 사례에 가까워 보임- 글에 있는 링크를 따라가 보니, 2023년 7월에 해커들이 Microsoft Azure Active Directory 인증서를 훔쳤고, 이것으로 Outlook, Office, SharePoint, Teams, “Login with Microsoft” 등을 포함한 사실상 모든 Microsoft 클라우드 서비스에 전체 접근 권한을 얻었다는 내용이 있었음
아래도 있음:
https://infosec.exchange/@briankrebs/110820474957163710
사실이라면 상당히 치명적임
[1]: https://www.microsoft.com/en-us/security/blog/2023/07/14/ana...
[2]: https://www.wiz.io/blog/storm-0558-compromised-microsoft-key... - 더 나은 링크는 글 안에서 연결된 이 페이지였을 것 같음:
https://karl-voit.at/cloud/
긴 목록 중에는 2023년 8월에도 Azure에서 “테넌트 간 애플리케이션과 민감 데이터에 대한 무단 접근, 인증 비밀값 포함” 문제가 있었다는 내용이 있고, Microsoft가 수개월 동안 고치지 못했으며 2023-08-03 기준으로도 Azure의 공개 취약점이었다고 되어 있음
2023년 7월 사건에서는 기본 로그만으로는 고객이 침입자를 감지할 수도 없었고, 해당 로그 파일에 접근하려면 추가 비용을 내야 했다고 함
Microsoft는 어떤 서비스가 영향을 받았고 아닌지 알리지 않았으며, 모든 Microsoft 클라우드 서비스가 잠재적으로 침해됐다고 봐야 한다는 식으로 정리돼 있음
또한 Mike Kuketz 같은 보안 전문가는 클라우드 인증을 쓰는 모든 Microsoft 시스템, Windows 호스트까지도 침해된 것으로 간주해야 한다고 본다고 되어 있음 - 일부 서비스에서는 Microsoft조차 데이터에 대한 통제권이 없음. KV나 MHSM 같은 경우가 있음
같은 링크 안의 Microsoft 글도 이렇게 말함:
https://www.microsoft.com/en-us/security/blog/2023/07/14/ana...
“침해 후 활동: 우리의 원격 측정과 조사에 따르면 침해 후 활동은 표적 사용자에 대한 이메일 접근과 유출로 제한됐다”
그러니 “Microsoft 전체”는 아님. 흔한 과장 제목이고, 이번에는 Mastodon 글로 관심을 끌었을 뿐임
이 플랫폼도 Twitter와 별로 다르지 않음
- 글에 있는 링크를 따라가 보니, 2023년 7월에 해커들이 Microsoft Azure Active Directory 인증서를 훔쳤고, 이것으로 Outlook, Office, SharePoint, Teams, “Login with Microsoft” 등을 포함한 사실상 모든 Microsoft 클라우드 서비스에 전체 접근 권한을 얻었다는 내용이 있었음
-
몇 년 지나면 온프레미스 하드웨어와 단순 서버 호스팅이 다시 유행할 것 같음
- 최근 인터넷과 전자기기의 중앙집중화와 클라우드화는 꽤 아이러니함
모든 것이 로컬이고 사적이었을 때는 보안이 약한 경우가 많았어도 공격자는 특정 기기나 네트워크에만 접근할 수 있었음
이제는 중앙화된 한 조직을 공격했을 때 보상이 너무 커져서, 공격자가 훨씬 큰 자원을 투입할 만해짐 - 하지만 클라우드는 훨씬 안전함. 누가 Microsoft 클라우드 전체를 해킹하겠어. 아, 잠깐…
- 핵심은 “단순”함임. 어떤 앱들은 애초에 왜 클라우드에 올렸는지 의문이 들었음
한두 달마다 멍청한 새 환경 버전으로 마이그레이션해야 했고, 앱이 메일을 못 보내서 DNS 항목을 만져야 했고, 필요도 없는 클라우드 제공자의 형편없는 IAM을 설정해야 했고, 데이터베이스 접근을 위해 앱을 등록해야 했음
지금은 연간 유지보수 15분, 설치와 설정 5분이면 되는 앱들이 있음
일부 클라우드 제공자는 놀라운 기능을 갖고 있지만, 모두 점점 비대해지는 느낌이고 내 사용 사례에는 전체 클러스터가 필요하지 않음 - 이미 시작됐음. 유럽의 한 나라에서 시스템을 설계하는데, 지자체와 주정부 기관들이 더 많은 온프레미스 구성을 요구하고 있음
유럽 클라우드 서비스를 더 많이 만들려는 여러 프로젝트도 들었음 - 온프레미스 하드웨어는 유행할 수 있지만, 단순 서버 호스팅은 그럴 가능성이 낮음
유행한다면 온프레미스 하드웨어 위에 컨테이너 또는 Kata Containers 오케스트레이터를 얹는 형태일 가능성이 큼
또 온프레미스에 배포된 소프트웨어라도 대형 조직은 여전히 싱글 사인온이 필요하고, 이런 종류의 공격에는 계속 노출될 수 있음
- 최근 인터넷과 전자기기의 중앙집중화와 클라우드화는 꽤 아이러니함
-
이거 정말 심각함. 이 글 덕분에 이제야 제대로 읽고 있는데, 어떻게 이렇게 레이더 아래로 지나갔는지 모르겠음
내가 일하는 회사도 최근 내부 앱과 서비스 인증을 전부 Azure를 통해 통합했음. 이제 와서 보니 실수였던 것 같은데, 내가 너무 과민한 건지도 모르겠음- 어떻게 이렇게 낮은 주목도에 머물렀는지 이해가 안 됨
이 사건이 나오기 얼마 전에도 누구나 특정 Bing 검색 결과를 바꿀 수 있었고, 아마 다른 서비스도 가능했을 “사고”가 있었음
그 결과 브라우저가 Bing과 공유하는 모든 데이터에 접근할 수 있었고, 거기에는 그 특정 검색에 Bing을 쓰는 사용자의 모든 MS 계정 접근 키도 포함됐음
영향은 알 수 없음. Microsoft가 공개하지 않았기 때문임. 왜인지는 각자 추측할 수밖에 없음 - 이 사후 분석은 몇 주 전에도 프런트 페이지에 있었음. 음모론까지 갈 필요는 없고, 그냥 평범한 빅테크의 부실 운영임
- 어떻게 이렇게 낮은 주목도에 머물렀는지 이해가 안 됨
-
글은 훌륭하고 무섭고, 참이며 검증 가능한 정보만 담은 것처럼 보이지만, 무엇을 기대해야 하는지는 잘 모르겠음
“보통” 사람들은 이걸 읽지도 않고, 이해하지도 못하며, 영향도 가늠하지 못함. 너무 복잡해졌음. 사회적으로 언급된 서비스들을 단순히 그만 쓸 수도 없음
차라리 다음을 가르치는 편이 더 합리적이지 않을까 싶음: 프라이버시는 없고 보장할 수 없으며 누구에게도 보장할 유인이 없음, 보안은 없고 모든 보안은 침해됐거나 침해되도록 설계됐거나 앞으로 침해될 것임, 모든 디지털 정보는 이미 공개됐거나 언젠가 공개될 것임- “보통” 사람들이 이해 못 한다는 데 동의하지 않음
“Microsoft가 고객에게 자기 집 열쇠로 모두의 사무실 금고를 열 수 있게 했고, 2년 동안 숨겼으며, 아직도 고칠 계획이 없다”는 뜻을 이해하는 데 IT 경력 10년은 필요 없음
McNeally는 그냥 틀렸음. 하지만 절망은 고치는 것보다 쉬워서 많은 사람이 절망을 택했고, 클라우드와 SaaS의 인기는 그 결과임
이것은 예정된 운명이 아니며, 실제로 신뢰하지 않는 사람을 신뢰하지 않으면 됨 - 그 세 가지는 절망만 가르침. 더 유용한 건 누구에게 책임을 물을 수 있는지, 그리고 실제 프라이버시와 보안을 어떻게 되찾을지 가르치는 것임
설령 두려운 규제 망치를 써야 하더라도 말임 - 이건 전체 투명성을 밀어붙이는 조직, 예를 들면 광고 업계나 국가안보 쪽, 혹은 그들에게 세뇌된 사람에게서나 나올 법한 관점임. 아직 그런 절망까지 갈 필요는 없음
사람은 여전히 보장된 프라이버시를 가질 수 있음. 예를 들어 기기 없이 숲에 들어가는 경우가 있음
타인의 프라이버시를 보장할 유인은 실패 시 처벌이라는 법적 장치가 될 수 있음
절대적 보안은 없지만, 특정 위협 모델에 대한 보안은 있음
네트워크에 연결되지 않은 기기에 보관한 데이터가 왜 반드시 공개된다는 건지도 납득하기 어려움 - 문제가 드러났을 때 사람과 기업이 고치기를 기대하는 것이 당연함
“보통” 사람이라는 표현은 넘어가더라도, 언급되지도 않은 서비스 없이 지낼 수 없거나 더 프라이버시 친화적으로 바꿀 수 없다는 이유는 보이지 않음
더 합리적인 교육은 프라이버시가 기능하는 사회와 경제에 필수적이라는 것임. 다르게 말하는 사람은 당신과 자신 사이의 정보 비대칭을 이용해 단기적으로 돈을 벌 수 있다고 보는 것임
Scott은 존중하지만 그 발언은 좋은 순간이 아니었음. 같은 문장을 “재산은 없고, 보장할 수 없으며, 누구도 보장할 유인이 없다”로 바꿔도 완전히 참처럼 들릴 수 있지만, 실제로 우리는 재산을 보장하는 방법을 만들었고 그것이 법과 집행 정부임. 프라이버시에도 이 검증된 개념을 적용할 수 있음
모든 자물쇠는 열릴 수 있지만, 모두가 자물쇠를 딸 수 있는 건 아니기 때문에 우리는 여전히 문을 잠금
최고 컨설팅 회사들이 모든 디지털 정보가 공개된다고 전제한다는 것도 의심스러움. Mazzucato와 Collington의 “The Big Con”에 나오는 그런 회사들이 그 전제를 팔 수는 있어도, 실제로 그렇게 운영하지는 않음
예를 들어 McKinsey가 Purdue Pharma에 한 조언이 공개될 것을 알았다면 그렇게 크게 잃지는 않았을 것임
요컨대 프라이버시가 중요하지 않다고 말하는 사람은 사실 당신의 프라이버시가 중요하지 않다고 말하는 것이고, 자신들은 정보 비대칭에서 앞서 사적으로 남을 수 있다고 과신하는 것임. Google이 공개 반독점 재판에서 자기 정보를 비공개로 유지하려 애쓰는 모습이 아이러니하게 보여줌 - 이건 형편없는 조언이고, 업계 종사자라면 자기 이익을 위한 조언일 수도 있음. 항상 그렇듯 뉘앙스가 있음. “절대적인 말은 Sith만 한다”는 식임
온라인에서는 프라이버시가 없고, 제공자들은 사용자를 팔아넘길 유인이 있음. 그래서 얕은 온라인 존재만 유지해 스스로 방어해야 함
일반 사용자라면 특히 소셜 미디어에 가능한 한 적은 정보를 올려야 함. 온라인 존재가 필요하다면 위험을 평가하고 시간과 돈을 들여 완화해야 함. 그 완화 노력에서 투자 대비 효과가 보이지 않는다면, 온라인 존재가 필요하다고 속은 것일 가능성이 큼
절대적 보안은 없음. 모든 방어 수단은 우회될 수 있지만 반드시 우회되는 것은 아님. 가능한 많은 위험을 평가하고, 긍정적인 투자 대비 효과가 예상되는 것만 완화하면 됨. 완화하지 않는 위험은 감수하고, 감당할 수 없는 위험은 시스템 사용을 거부해 아예 떠안지 말아야 함
아무 위험 관리도 하지 않아도, 범죄 성향의 일부 인구가 비용과 보상을 계산하기 때문에 기본 보안 수준은 존재함. 내부 사정을 아는 냉소적인 사람들이 보안은 없다고 더 많이 말할수록 이 기준선은 0에 가까워지고, 일반 대중은 더 취약해짐
기준선이 낮아질수록 개인이 견딜 만한 안전 수준을 얻기 위해 직접 투자해야 하는 시간과 돈도 늘어남. 냉소는 우리에게 비용을 치르게 하니, 멋져 보인다고 마을 물레방아에 오줌이나 똥을 누지 말라는 얘기임
현재 디지털 정보는 이미 공개됐거나 언젠가 공개될 수 있음. 하지만 그 시점을 더 먼 미래로 미루는 기술을 고를 수 있고, 아직 디지털화되지 않은 정보는 편의가 위험을 감수할 가치가 있는지 의식적으로 결정할 수 있음
- “보통” 사람들이 이해 못 한다는 데 동의하지 않음
-
“Mike Kuketz 같은 보안 전문가는 클라우드 인증을 사용하는 모든 Microsoft 시스템, Windows 호스트까지도 침해된 것으로 봐야 한다고 생각한다”는 건 엄청난 주장임
훔친 서명 키가 Windows Update나 Azure 제어 평면 같은 핵심 서비스에 접근하는 더 큰 공격의 일부로 쓰였을 이론적 가능성은 있어 보임
하지만 그런 체계적 침해가 있었다면 누군가는 알아챘을 것 같음- 훔친 키를 2년 동안 불법 사용한 활동도 누군가는 알아챘을 텐데… 아, 그렇지
-
본문 글과 블로그보다 Microsoft의 설명이 훨씬 더 잘 보여줌: https://www.microsoft.com/en-us/security/blog/2023/07/14/ana...
또한 여기서 주장하는 것과 달리, Microsoft는 문제를 알게 된 뒤 고쳤음: https://msrc.microsoft.com/blog/2023/09/results-of-major-tec...- 너무 늦었음. 피해는 이미 발생했음. 그 키를 가진 누구든 모든 MS 계정과 서비스에 접근할 수 있었을 것임
그리고 그 사람들은 이미 엔지니어 계정을 해킹했음. 엔지니어 계정 하나만 해킹해서 이 키를 우연히 발견할 확률은 매우 낮으므로, 여러 Microsoft 엔지니어 계정이 이미 해킹됐다고 보는 게 합리적임
기본적으로 MS 계정은 안전하지 않음
- 너무 늦었음. 피해는 이미 발생했음. 그 키를 가진 누구든 모든 MS 계정과 서비스에 접근할 수 있었을 것임