사이버 보안 로그에 대해 이제까지 알던 것을 잊으십시오. 지난 20년간 우리는 로그는 거짓말을 하지 않는다는 위안 삼아 왔습니다. SIEM, 사용자 행위 분석, 자동화된 플레이북 등 우리의 모든 보안 체계는 실패한 로그인과 성공한 로그인을 구분하는 토대 위에 구축되었습니다. 그런데 만약 공격자가 당신의 Entra ID(구 Azure AD) 환경에서 완벽하게 합법적으로 보이는 로그인 시도를 조작할 수 있다면 어떻게 될까요? MFA와 조건부 액세스 정책을 완전히 통과하는 성공적인 인증 이벤트인데, 실제 데이터는 단 한 바이트도 건드리지 않는다는 것입니다. Varonis Threat Labs가 밝혀낸 이 소름 끼치는 현실은, 솔직히 말해 이 바닥에서 잔뼈가 굵은 저 같은 사람도 밤잠을 설치게 만듭니다. 즉각적인 위협은 데이터 절도가 아닐 수 있지만, 당신의 보안 운영, 예산, 그리고 데이터 기록의 무결성에 미칠 파급 효과는? 훨씬 더 교활합니다.
크로스 테넌트 ROPC: 로그인 없는 로그인 기록
이 수법의 핵심은 리소스 소유자 암호 증명(ROPC) 프로토콜과 ‘크로스 테넌트’ 아키텍처의 특정 뉘앙스에 달려 있습니다. 요컨대, 공격자가 당신의 조직(테넌트 A라고 합시다)에 대한 유효한 사용자 이름과 비밀번호를 손에 넣었다고 가정해 봅시다. 일반적으로 강력한 MFA나 레거시 프로토콜 차단이 문을 닫아버릴 것입니다. 하지만 이 공격 경로는 매우 영리합니다. 공격자는 테넌트 A에 직접 로그인하려 하는 대신, 동일한 자격 증명을 사용해 다른, 훨씬 더 허용적인 테넌트(테넌트 B)에서 인증을 시도합니다.
여기서부터 복잡해집니다.
당신의 테넌트(테넌트 A), 즉 공격 대상이 되는 테넌트는 비밀번호를 확인합니다. 땡! ‘로그인: 성공’ 이벤트가 생성됩니다. 한편, 공격자가 실제로 통신하는 다른 테넌트(테넌트 B)는 자체 조건부 액세스 정책을 확인합니다. 테넌트 B는 이 사용자나 자격 증명에 대해 아무런 문제가 없으므로, 인증은 순조롭게 통과됩니다. 결과는? 당신의 SIEM은 크리스마스트리처럼 빛나며, 당신이 힘들게 구축한 모든 방어를 우회한 성공적인 로그인을 자랑스럽게 알립니다. 많은 모니터링 도구에게는 끝난 일입니다. 사용자가 로그인했고, 문제가 없습니다. 물론, 실제로는 엄청난 문제가 생긴 것이죠.
우물을 독으로 만들다: 진짜 위험
공격자가 테넌트 B에 갇혀 있어 실제로 파일에 직접 접근하지 못하더라도, 당신의 보안 태세에 미치는 영향은, 뭐랄까, 매우 우려스럽습니다. 혼란은 이 현대 보안 서커스에서 공격자의 가장 친한 친구입니다.
그렇다면 이것이 어떻게 우물을 독으로 만들까요?
첫째, 사용자 및 엔티티 행위 분석(UEBA) 및 머신러닝 모델을 생각해 봅시다. 이 시스템들은 ‘정상’이 무엇인지 학습하도록 설계되었습니다. 공격자는 수천 개의 이러한 가짜 ‘성공적인’ 로그인—이상한 지리적 위치, 한 번도 보지 못한 IP, 불가능한 속도로—으로 당신의 로그를 채움으로써, 모델이 실제 위협을 무시하도록 훈련시킵니다. 한 시간에 50개국에서 로그인하는 사용자를 심각한 침해 지표가 아닌, 또 다른 이상 징후로 플래그를 지정하는 시스템을 상상해 보십시오. 너무 많은 노이즈를 생성하여 그림자 속에서 벌어지는 실제 공격을 완전히 가립니다. 더 나쁜 것은, 보안 통제가 이러한 팬텀 경고에 반응하기 시작하여 실제 근거가 없는 데이터를 기반으로 중요한 프로덕션 시스템을 방해할 수 있다는 것입니다.
SOC 세금: 유령을 위한 피, 땀, 눈물
이러한 모든 오탐(False Positive)에는 가격표가 붙어 있으며, 이는 분석가 시간과 예산으로 지불됩니다. 보안 분석가가 악명 높은 나쁜 IP에서 ‘성공적인’ 로그인을 발견합니다. 어떻게 될까요? 그들은 즉시 행동에 나섭니다. CISO는 긴급 전화를 받습니다. 사용자 계정이 비활성화됩니다. 기술적으로 말하면 실제로 발생하지도 않은 침해를 조사하는 데 수많은 시간이 쏟아집니다. 공격자는 이를 자동화할 수 있습니다. 스크립트를 작성할 수 있습니다. 매일 수천 개의 ‘유령 로그인’으로 시스템을 범람시킬 수 있습니다. 이것은 단순히 성가신 것이 아닙니다. 이것은 당신의 가장 귀중하고 가장 비싼 자원, 즉 인간 분석가를 표적으로 하는 정교한 서비스 거부 공격입니다. 당신은 유령을 쫓느라 예산과 인력을 낭비해야 합니다.
규정 준수 악몽? 물론입니다.
감사원에게 MFA가 모든 계정에 강제되어야 함에도 불구하고, 사용자 X로부터 MFA 없이 500건의 ‘성공적인’ 로그인이 기록에 표시된다고 어떻게 설명하시겠습니까? 당신의 로그 무결성? 망가졌습니다. 더 이상 실제 이벤트 기록을 보는 것이 아니라, 왜곡되고 조작된 현실의 버전을 보는 것입니다. 그리고 그것이야말로, 여러분, 규정 준수 담당자의 최악의 시나리오입니다.
Varonis는 Microsoft에 보고하여 올바른 일을 했습니다. 그리고 그들의 마음을 축복하며, Microsoft는 이를 ‘낮은 심각도’로 평가했습니다. 그들의 이유는? 실제 데이터 접근이 없었고, 직접적인 침해가 없었습니다. 순전히 기술적인, 리소스 접근 관점에서는 이해가 갑니다. 하지만 최전선에서는? SOC를 관리하려는 CISO에게, 당신의 보안을 확인하려는 감사원에게, 심각성은 전혀 낮지 않습니다.
SOC 및 감사 관점에서 우려는 여전히 상당합니다. 방어자들은 이러한 이벤트를 의미 있는 접근의 증거로 해석하여, 리소스 침해를 반드시 반영하지는 않는 원격 측정 데이터를 기반으로 조사를 촉발하고, 경고를 발생시키며, 사고 대응 워크플로를 시작할 수 있습니다.
냉혹한 진실은 이것입니다: 정적인 로그만으로는 더 이상 충분하지 않습니다. 많은 공급업체, 그리고 Microsoft조차도 ROPC를 ‘낮은 심각도’로 보는데, 이는 직접적인 데이터 유출이 없었기 때문입니다. 하지만 진짜 위험은 컨텍스트—또는 오히려 그것의 완전한 부재—에 있습니다. 우리는 ‘로그인했는가?’를 묻는 것을 멈추고, ‘데이터에 접근했는가?’ ‘우리 테넌트 내부의 리소스에 접근했는가?’와 같은 어려운 질문을 시작해야 합니다. 만약 당신의 보안 도구가 현관문만 감시한다면, 가짜 초인종 소리에 쉽게 속을 수 있습니다. 당신은 집 안에서 무슨 일이 일어나고 있는지 알아야 합니다.
따라서 다음에 SIEM 규칙을 만들거나 경고를 검토할 때, 인증 로그에 약간의 지적인 소금을 뿌리십시오. 그들은 항상 보이는 것처럼 정직하지는 않습니다.
내 SOC에 왜 중요한가?
이 크로스 테넌트 ROPC 공격은 당신의 보안 운영 센터(SOC)의 운영 효율성과 정확성에 대한 직접적인 공격입니다. SOC가 위협을 탐지하고 대응하는 데 의존하는 데이터를 무기로 사용합니다. MFA, 조건부 액세스와 같은 주요 인증 제어를 우회하지만 실제 데이터에 대한 액세스를 허용하지 않는 수천 개의 ‘성공적인’ 로그인 이벤트를 생성함으로써, 공격자는 오탐(False Positive)의 홍수를 만들어냅니다. 이로 인해 SOC 분석가는 존재하지 않는 사고를 조사하는 데 귀중한 시간을 낭비하게 되어 리소스와 예산이 고갈됩니다. 또한, 오도하는 데이터를 공급하여 UEBA 및 ML 모델을 손상시키고, 실제 위협을 정상 활동처럼 보이게 만들어 잠재적으로 숨길 수 있습니다. 궁극적으로 이 기술은 직접적인 데이터 절도에 관한 것이 아니라, 데이터가 실제로 위험에 처했을 때 탐지하는 당신의 능력을 마비시키는 것에 관한 것입니다.
내 직업을 대체할 것인가?
아니요, 이 특정 공격 기법이 직접적으로 당신의 직업을 대체하지는 않겠지만, 당신의 직업을 훨씬 더 어렵게 만들고 제대로 해결되지 않으면 기존 도구를 덜 효과적으로 만들 것입니다. 이러한 ‘유령 로그인’의 목표는 당신의 보안 팀과 시스템을 압도하고 혼란스럽게 하는 것이지, 그것들을 제거하는 것이 아닙니다. 보안 분석가의 핵심 작업—조사, 위협 헌팅, 사고 대응—은 여전히 중요합니다. 그러나 이 공격은 단순히 ‘로그인 성공/실패’ 지표를 넘어선 더 정교한 탐지 방법의 필요성을 강조합니다. 단순히 인증 이벤트 자체가 아니라 실제 테넌트 내에서의 리소스 및 데이터 접근을 확인하는 데 집중해야 합니다. 이는 더 깊은 가시성과 컨텍스트를 제공하는 도구에 투자하고 구성하며, 직접적인 무단 접근뿐만 아니라 속임수의 패턴을 찾도록 위협 헌팅 전략을 조정해야 함을 의미합니다.
🧬 관련 통찰
자주 묻는 질문
리소스 소유자 암호 증명(ROPC) 프로토콜은 무엇을 하나요? ROPC는 애플리케이션이 사용자의 사용자 이름과 비밀번호를 직접 처리하는 레거시 인증 흐름입니다. OAuth 또는 OpenID Connect와 같은 최신 프로토콜에 비해 자격 증명이 애플리케이션에 더 직접적으로 노출될 수 있고 다단계 인증(MFA)을 쉽게 지원하지 않기 때문에 일반적으로 덜 안전하다고 간주됩니다.
이 크로스 테넌트 공격은 Entra ID에서 어떻게 작동하나요? 공격자는 홈 테넌트(테넌트 A)가 아닌 다른 테넌트(테넌트 B)에서 인증하기 위해 유효한 사용자 자격 증명을 사용합니다. 테넌트 B의 정책이 (제한적인) 인증 흐름을 궁극적으로 허용하더라도, 테넌트 A는 이를 ‘성공’으로 기록합니다. 이는 테넌트 A의 데이터나 리소스에 대한 접근을 허용하지 않으면서도 테넌트 A에서 기만적인 ‘성공적인 로그인’ 로그를 생성합니다.
Microsoft는 왜 이를 낮은 심각도로 부르고 있나요? Microsoft의 평가는 직접적인 영향, 즉 사용자 데이터나 테넌트 리소스가 침해되지 않았다는 점에 초점을 맞출 가능성이 높습니다. 그들의 관점에서 보안의 주요 목표는 데이터와 서비스에 대한 무단 접근을 방지하는 것입니다. 이것이 발생하지 않았기 때문에 즉각적인 위험은 낮게 평가됩니다. 그러나 이 글은 SOC 운영, 감사 가능성, 그리고 실제 공격을 숨길 수 있는 잠재력 때문에 방어자들에게는 심각한 우려 사항이라고 주장합니다.
