이석원 기자
지난 7월 마이크로소프트 소비자 서명키가 중국계 해커 집단에 도난당했지만 유출원은 윈도 크래시 덤프(crash dump)였던 게 마이크로소프트 조사를 통해 밝혀졌다.
운영체제가 비정상적으로 종료되면 해당 시점 메모리에 있는 정보가 파일에 기록되어 뭐가 원인지를 추구할 수 있다. 이 파일을 크래시 덤프라고 하며 보통 기밀 정보를 포함하지 않는다. 하지만 2021년 4월 발생한 소비자 서명 시스템 크래시에선 경쟁 상태가 발생해 크래시 덤프 내에 기밀 정보인 마이크로소프트 소비자 서명키가 유출됐다. 이 때 시스템은 시스템이 크래시 덤프에 키 정보를 포함하는 걸 감지하지 못했다.
이 크래시 덤프는 표준 디버깅 절차에 따라 격리된 운영 네트워크에서 인터넷 연결된 기업 네트워크 디버그 환경으로 옮겨졌다. 마이크로소프트 자격증명 검색 기법은 이 단계에서 서명키를 검색할 수 없었다.
마이크로소프트 로그 보존 정책으로 인해 Storm-0558 코드명이 부여된 중국 해커가 서명키를 어떻게 얻었는지에 대한 구체적인 증거가 포함된 로그는 존재하지 않지만 Storm-0558가 침해한 마이크로소프트 엔지니어 법인 계정은 서명키의 크래시 덤프를 포함한 디버그 환경에 액세스 가능했기 때문에 이 시기에 키를 취득했을 가능성이 높다고 보여지고 있다.
마이크로소프트는 이 무제에 따라 몇 가지 개선을 진행했다. 서명키가 크래시 덤프에 존재할 수 있게 되는 경합 상태 특정과 해결. 크래시 덤프에 키 정보가 잘못 포함되는 걸 방지, 검출 대응을 강화하는 서명키를 적절하게 검출할 수 있도록 개선. 인증 라이브러리에서 키 검증을 자동화하기 위한 확장 라이브러리를 릴리스하고 관련 문서를 명확하게 하는 것 등이다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
