Google OAuth 취약점 발견
- Google OAuth 취약점이 발견되어, 회사에서 퇴사한 직원들이 Slack, Zoom과 같은 애플리케이션에 무기한 접근할 수 있는 문제가 있음.
- 이 취약점은 비기술적인 대중도 쉽게 이해하고 악용할 수 있으며, Google은 아직 이 위험을 줄이기 위한 조치를 취하지 않음.
- 사건의 타임라인은 다음과 같음: 8월 4일 Google에 취약점 공개, 수백 개의 애플리케이션이 영향을 받을 것으로 예상됨. 8월 7일 문제가 분류됨. 10월 5일 Google이 문제에 대해 $1337를 지급함. 11월 25일 Zoom과 Slack을 포함한 수십 개의 영향을 받는 애플리케이션에 대한 대량 사설 공개. 12월 16일 Google에 통보한 지 134일 후에 공개됨.
배경 이야기
- Truffle Security의 Forager 도구 베타 테스터 중 한 명이 Microsoft OAuth 취약점에 영향을 받는 로그인을 발견하고 공개한 사건이 있었음.
- Microsoft가 Microsoft에서 생성하거나 검증하지 않은 이메일 주장을 보내고, 이메일 주장 자체가 신뢰할 수 없다는 사실에 놀람.
- Google의 OIDC 문서에서 이메일을 식별자로 사용하는 것에 대한 경고를 발견함.
Non-Gmail Google 계정
- Gmail이 아닌 기존 이메일 주소를 사용하여 Google 계정을 생성할 수 있음.
- 이러한 새로운 Google 계정은 Yahoo 이메일 주장을 보낼 수 있음.
- Google 문서가 이메일을 주요 식별자로 사용하지 말라고 하는 이유는, 설정에서 비 Gmail 이메일을 편집하고 새 계정이 이전에 편집된 이메일로 생성될 경우, 두 개의 다른 Google 계정이 동일한 이메일 주장을 보낼 수 있기 때문임.
문제가 되는 부분
- 기업 Google 조직을 통해 이메일 별칭과 이메일 플러스 기호 전달을 사용하여 Google 계정을 생성할 수 있음.
- 이러한 이메일 주소는 많은 영향을 받는 조직에서 파싱되며, 이메일 끝에 있는 도메인을 사용하여 로그인할 수 있는지 결정함.
- 이러한 비 Gmail Google 계정은 실제로 Google 조직의 구성원이 아니므로, 관리자 설정이나 사용자 Google 목록에 나타나지 않음.
해결 방안
- 조직은 Google 로그인을 비활성화하고 SAML을 엄격히 적용하여 스스로를 보호할 수 있음.
- 서비스 제공업체는 Google 조직 멤버십을 결정하는 방법이 있으나, HD 클레임은 Google 조직의 구성원이 아닌 계정에서는 생략됨.
- Google은 모든 사람을 위해 이 문제를 광범위하게 해결할 수 있는 여러 단계를 취할 수 있음.
추가 영향
- 조직의 Zoom과 Slack에 초기 접근 권한이 없어도 접근할 수 있는 기술적 가능성이 있음.
- Zendesk와 같은 특정 지원 및 티켓 시스템을 통해 이메일로 지원 티켓을 생성하고, 이를 통해 Google 계정을 생성하여 OAuth를 통해 로그인할 수 있음.
최종 생각
- Google의 OAuth 시스템의 허점으로 인해 전 직원이 Slack과 Zoom과 같은 플랫폼에 계속 접근할 수 있는 것은 단순한 감독이 아닌 중대한 보안 결함임.
- Google은 이 문제를 완화하기 위해 광범위한 수정을 적용할 수 있는 능력이 있으며, 공개적인 공개의 목적은 실제 변화를 촉구하기 위함임.
- Google은 문제를 신속하게 분류했지만, 자체적인 90일 내 문제 해결 베스트 프랙티스를 따르지 않아, 134일째 되는 날 이 문제가 공개됨.
GN⁺의 의견
- 이 기사는 Google OAuth 시스템의 취약점을 통해 퇴사한 직원들이 회사의 중요한 통신 플랫폼에 계속해서 접근할 수 있는 심각한 보안 문제를 드러냄.
- 이러한 취약점은 기업의 내부 정보 보안에 큰 위협이 될 수 있으며, 이를 통해 기업의 민감한 정보가 유출될 가능성이 있음.
- Google이 이 문제에 대한 적극적인 조치를 취하지 않은 것은 기업과 개인 사용자 모두에게 중요한 보안 문제를 제기하며, 이는 사이버 보안에 대한 인식을 높이고 보안 프로토콜을 강화할 필요성을 강조함.