Microsoft, 고객 클라우드 제품 보안 로그 수주일 분실 발표
(techcrunch.com)- 일부 Microsoft 클라우드 고객은 2주 이상 보안 로그 공백을 겪어, 침입 탐지와 사후 분석에 필요한 데이터를 잃었을 수 있음
- 9월 2일부터 9월 19일까지 내부 모니터링 에이전트 버그가 일부 로그 업로드를 방해해 내부 로깅 플랫폼에 데이터가 남지 않음
- Microsoft는 원인이 보안 사고가 아닌 운영상 버그이며, 영향 범위는 “로그 이벤트 수집”에 한정됐다고 설명함
- 영향 제품에는 Microsoft Entra, Sentinel, Defender for Cloud, Purview가 포함되며, 고객의 데이터 분석·위협 탐지·보안 경보 생성에 공백이 생겼을 수 있음
- 2023년 중국 연계 침입 사건 뒤 Microsoft가 낮은 요금제에도 로그 제공을 확대하겠다고 한 상황이라, 클라우드 보안 로그의 접근성과 보존 신뢰성이 다시 쟁점이 됨
Microsoft 클라우드 보안 로그 누락
- Microsoft는 일부 클라우드 제품 고객에게 2주 이상 보안 로그가 누락됐다고 알림
- 누락 기간은 9월 2일부터 9월 19일까지임
- 고객 알림에는 Microsoft의 내부 모니터링 에이전트 일부가 로그 데이터를 내부 로깅 플랫폼에 업로드하는 과정에서 오작동했다고 적힘
- 해당 로깅 장애는 보안 사고로 인한 것이 아니며, Microsoft는 영향이 “로그 이벤트 수집”에만 있었다고 설명함
- 로깅은 제품 내 이벤트를 추적하는 기능으로, 사용자 로그인 정보와 실패한 시도 같은 데이터를 포함할 수 있음
- 로그가 없으면 해당 기간 고객 네트워크에 대한 무단 접근을 식별하기 더 어려워질 수 있음
- Business Insider가 10월 초 로그 데이터 손실을 먼저 보도함
- 보안 연구자 Kevin Beaumont는 Microsoft가 영향받은 기업에 보낸 알림이 테넌트 관리자 권한을 가진 소수 사용자에게만 보일 가능성이 높다고 봄
영향 제품과 고객 영향
- 영향 제품에는 Microsoft Entra, Sentinel, Defender for Cloud, Purview가 포함됨
- 고객 알림은 보안 관련 로그나 이벤트에 잠재적 공백이 생겼을 수 있다고 안내함
- 이 공백은 데이터 분석, 위협 탐지, 보안 경보 생성 능력에 영향을 줬을 수 있음
- Microsoft는 로깅 장애에 대한 구체적 질문에는 답하지 않았지만, corporate vice president John Sheehan은 원인을 “내부 모니터링 에이전트의 운영상 버그”로 확인함
- Microsoft는 서비스 변경을 롤백해 문제를 완화함
- 영향을 받은 모든 고객에게 알렸고 필요한 지원을 제공하겠다고 함
2023년 중국 연계 침입 이후 다시 불거진 로그 문제
- 이번 장애는 Microsoft가 2023년 미국 연방 조사관들로부터 일부 미국 연방 정부 부처에 보안 로그를 제공하지 않았다는 비판을 받은 지 1년 뒤 발생함
- 당시 조사관들은 해당 로그에 접근할 수 있었다면 중국 연계 침입을 훨씬 더 빨리 식별할 수 있었을 것이라고 봄
- 중국 연계 침입자 Storm-0558은 Microsoft 네트워크에 침입해 디지털 “skeleton key”를 훔침
- 이 키로 Microsoft 클라우드에 저장된 미국 정부 이메일에 제한 없이 접근할 수 있었음
- 정부의 사이버 공격 사후 분석에 따르면 State Department는 더 높은 등급의 Microsoft 라이선스를 구매해 클라우드 제품 보안 로그에 접근할 수 있었기 때문에 침입을 식별함
- 다른 다수의 해킹 피해 미국 정부 기관은 같은 로그 접근 권한이 없었음
- 중국 연계 해킹 이후 Microsoft는 2023년 9월부터 낮은 요금제 클라우드 계정에도 로그를 제공하겠다고 밝힘
댓글과 토론
Hacker News 의견들
-
현실적인 프로덕션 환경에서 Azure를 쓴다면 그 책임은 본인에게 있다고 봄
무료 크레딧을 10만 달러어치 준다 해도 한 달 넘게 쓰도록 설득하지 못했을 것임
비싸고, 인터페이스는 매우 불친절하며, 무엇보다 이런 일 때문에 제품들이 프로덕션 부하에 믿고 쓸 만큼 신뢰성 있어 보이지 않음- 다른 클라우드 제공업체를 쓰다 Azure로 오면 짙은 주황색 경고등이 너무 많음
전체가 일관성 없고 덕지덕지 이어 붙인 느낌이라, 누가 제대로 보안 감사를 할 수 있을지 믿기 어렵다
가장 불편한 부분은 로그인인데, 리다이렉트와 오류가 말도 안 되게 많고 의도대로 동작한다고 보기 힘듦
예를 들어 BAA를 내려받으려 했더니 신뢰 웹사이트에서 로그인 루프에 빠졌지만, 같은 브라우저에서는 Azure 콘솔은 멀쩡히 볼 수 있었음
새 로그인이 도움이 되는지 보려고 Azure 계정에서 로그아웃했는데, 다음 로그인에서 2단계 인증이 뜨지 않았음
브라우저 창에서 명시적으로 로그아웃했다면 그 기기에 대한 신뢰를 철회한 것이므로, 2단계 인증이 트리거되지 않는 건 큰 경고 신호로 봄
결국 BAA도 못 받았고 티켓도 못 열었지만, 이상하게 동료는 정상적으로 내려받을 수 있었음 - 최근 어떤 곳에서 모든 Linux 머신에 MS 소프트웨어를 설치해 Azure에 통합하려는 걸 보고 웃었음
그쯤 되면 잠깐 멈춰서 생각해 봐야 함
애초에 신뢰할 수 있는 시스템을 원해서 Linux를 선택한 것 아니었나? - “더 잘할 수 있다”는 말에 트롤처럼 굴려는 건 아니지만, 정말로 못 한다고 봄
마지막으로 만든 “좋은” 제품은 SQL Server/Exchange/Windows 2000이었고, 그건 아주 오래전 일임 - 내부에서도 그렇다: “LinkedIn조차 Microsoft 클라우드에 그리 적극적이지 않다: Azure 이전 포기”
https://www.theregister.com/2023/12/14/linkedin_abandons_mig... - 안타깝게도 이런 선택은 상층부가 결정하고, 그들은 그냥 유행을 따라감
- 다른 클라우드 제공업체를 쓰다 Azure로 오면 짙은 주황색 경고등이 너무 많음
-
거의 모든 팀이 VM에서 돌리는 애플리케이션에 실제 버그가 있었고, 그 앱이 애플리케이션 로그를 저장소로 밀어 넣는 구조였음
우리 팀도 로그가 다시 흐르게 하려고 프로세스를 재시작해야 했음
이는 sev 0 사고였고, 평소 백그라운드에서 조용히 돌던 에이전트를 수많은 팀이 수동으로 재시작해야 해서 쉽게 고칠 수 없는 실수였음- Microsoft가 합리적인 깊이로 자동화 테스트를 했다면 이런 일이 계속 생기지 않았을 텐데 싶음
최근 ClownStrike 전 세계 장애는 배포 전 테스트 부족을 보여줬고, 이번 Microsoft 문제는 그 일이 Windows의 근원 쪽에서도 벌어지고 있음을 보여줌
보기 좋은 모습은 아님 - Microsoft 내부 얘기인지, 아니면 고객 입장에서 겪은 얘기인지 궁금함
- Microsoft가 합리적인 깊이로 자동화 테스트를 했다면 이런 일이 계속 생기지 않았을 텐데 싶음
-
영향을 받은 제품에 Microsoft Entra, Sentinel, Defender for Cloud, Purview가 포함됐다는 대목이 아픔
Entra, 예전 Azure Active Directory가 영향을 받았다는 건 꽤 심각함
그래도 SSO 로그가 누가 필요하겠나?- 하늘을 보며 소행성이 지구에 떨어질 거라고 생각하지 않던 시절이 있었음
모르는 게 약임
덧붙여 Entra라고 적힌 걸 보고 Encarta인 줄 알고, 아직 존재하는 줄 알고 잠깐 신났음 - 세상에, Microsoft는 이름 하나 정해서 계속 써야 함
Azure Active Directory도 훌륭한 이름은 아니었지만, 모든 걸 계속 리브랜딩하는 건 너무 피곤함 - 스페인어에서는 entra가 “들어와/안으로 들어가”라는 뜻이라 농담거리가 되기 좋음
- 우리에겐 필요함. 컴플라이언스 의무가 있음
다행히 프로덕션 시스템은 Entra에 통합되어 있지 않고, 고객과 무관한 것들만 연결되어 있음 - 로그가 없으면 침해도 없는 것임
- 하늘을 보며 소행성이 지구에 떨어질 거라고 생각하지 않던 시절이 있었음
-
이게 어떤 정보기관 작전을 지원했을지 궁금함
- 우리는 그걸 APT -1, 즉 Microsoft라고 부름
- 아무것도 아님. Microsoft의 내부 로깅 인프라는 90년대산임
-
한 달 조금 전에 나온 이 긴 글도 잊지 말아야 함
Microsoft가 해외 사이버보안에서 실패하고, 의도적으로 방치한 듯한 정황을 정리한 글임
https://www.lawenforcementtoday.com/bombshell-allegations-th...- 한편으로 이 보고서에는 중요한 알맹이가 있음
다른 한편으로 Schiller가 완전히 신뢰할 만한 증인처럼 보이지는 않고, 정부 감독을 요청한 대상이 극단적 MAGA 공화당 의원들에 한정된 듯한 점도 시사하는 바가 있음
그래도 1) 핵심 미국 정부 인프라 지원에 외국 국적 지원 인력을 의존해서는 안 되고, 2) 하이퍼스케일러를 포함한 모든 대형 기술 기업이 중국에서 사업하기 위해 Tencent, Alicloud 같은 국내 대리 사업체를 통해 중국 정부 권역과 거래를 맺고 있다는 점에는 100% 동의함
이런 계약과, 중국 측 인력이 하드웨어·소프트웨어 스택에 직접 접근할 수 있게 하는 조건에 대한 감독이 충분하지 않음
- 한편으로 이 보고서에는 중요한 알맹이가 있음
-
왜 이걸 공개적으로 인정했을까?
- 대부분의 보안팀이 접근할 수 없는 도구 안에 보고를 숨긴 점이 들통났기 때문임
- 아마 외국 행위자가 로그를 삭제했다고 인정하게 될 때 큰 뉴스처럼 보이지 않도록 미리 뭔가를 깔아두려는 것일 수 있음
MSFT가 이런 일을 처리할 때 흔히 쓰는 방식임
-
Azure는 별로임
특히 Batch Service는 작업 스케줄러가 전혀 정확하지 않음 -
지금까지 본 최악의 인프라와 끔찍한 운영 관행을 가진 곳들조차 이런 일이 사실상 불가능하도록 정교한 장치를 갖춰 놓았음
이런 일이 생기면 정말 심각하기 때문임
이번 일 전에도 내 사업을 Azure 관리형 클라우드 인프라 위에 올리고 싶지는 않았을 것 같음
이런 일이 전체 시스템의 치명적 오류 없이 어떻게 가능한지 사고 실험을 해보려 해도 잘 상상이 안 됨 -
여기서 msft가 Google보다 기업 친화적이라고 했던 댓글들이 있었음
이유는 데이터를 잃지 않는다는 것이었는데, msft는 신뢰성의 반대편에 있음 -
은폐 냄새가 남
“우리 플랫폼의 취약점이 고객 syslog에 드러났습니다!” “빨리 모두, 로그를 잃어버리고 시간을 더 벌자”라는 식으로 보임