OAuth 토큰은 직원이 퇴사하거나, 비밀번호가 변경되거나, 앱이 오작동하더라도 만료되지 않습니다. 보안 프로그램은 이러한 위험을 인지하고 불필요하거나 사용되지 않는 권한을 최대한 빨리 제거해야 합니다.
여분의 열쇠를 생각해 보세요. 6개월 전에 냉난방 시스템 수리를 위해 시공업자에게 열쇠를 건네줬습니다. 작업은 끝났고, 시공업자는 다른 곳으로 이동했습니다. 하지만 열쇠는 여전히 작동하고, 당신은 돌려달라고 요청하지 않았습니다. 회사에서 누군가가 OAuth를 사용하여 타사 앱을 Google Workspace나 Microsoft 365에 연결할 때마다 거의 비슷한 상황이 발생합니다. 디지털 키는 직원들이 생성하고 만료되지 않으며, 대부분의 조직에서는 아무도 이러한 키를 추적하거나 검토하거나 더 이상 필요하지 않을 때 삭제하지 않습니다!
OAuth를 Google 어시스턴트는 팀원들이 매일 클릭하는 "Google에 연결" 및 "액세스 허용" 버튼 뒤에 숨겨진 시스템입니다. 이 시스템을 통해 앱은 사용자의 실제 비밀번호를 공유하지 않고도 캘린더를 읽고, 사용자를 대신하여 이메일을 보내고, 클라우드 저장소에서 데이터를 가져올 수 있습니다. 좋아 보이죠? 하지만 문제는 이 시스템이 생성하는 액세스 토큰이 사용자가 앱의 존재를 잊어버린 후에도 오랫동안 남아 있다는 것입니다. 직원이 퇴사해도 토큰은 취소되지 않고, 비밀번호를 변경해도 재설정되지 않습니다. 이미 유효한 토큰을 확보한 공격자를 막으려면 다단계 인증도 소용이 없습니다.
의 연구 재료 보안 조사에 따르면 보안 책임자의 80%가 관리되지 않는 OAuth 권한 부여를 심각하거나 중대한 위험으로 간주합니다. 이 수치는 수년 동안 높은 수준을 유지해 왔습니다. 여기서 핵심적인 문제는 인식 부족이 아니라, 이러한 위협을 완화하는 데 있습니다. is.
45% 많은 조직들이 대규모로 OAuth 권한 부여를 모니터링하기 위한 조치를 전혀 취하지 않고 있습니다.
33% 스프레드시트와 같은 수동 추적 및 임시 검토에 의존합니다.
어떤 앱이 액세스 권한을 가지고 있는지 보여주는 스프레드시트를 보는 것과 해당 앱이 그 권한을 가지고 무엇을 하는지 아는 것은 전혀 다릅니다. 전자는 목록일 뿐이고, 후자는 보안 문제입니다. 현재 대부분의 팀은 목록만 가지고 있습니다.
2024년과 2025년에 UNC6395(팔로알토 유닛 42에서 추적)라는 위협 행위자가 영업 참여 플랫폼인 Drift에서 탈취한 OAuth 갱신 토큰을 사용하여 700개 이상의 조직의 Salesforce 환경에 접근했습니다. Drift는 해당 Salesforce 계정과 합법적인 OAuth 연결을 맺고 있었습니다. 공격자는 아마도 이전의 피싱 공격을 통해 이러한 토큰을 확보했고, 이를 이용해 시스템에 직접 침입했습니다.
이 공격이 그토록 효과적이었던 이유는 무엇일까요?
의심스러운 점은 전혀 없었습니다. 토큰은 유효했고, 앱도 신뢰할 만했습니다. 공격자는 실제로 로그인을 시도하지 않았기 때문에 로그인 자체가 이루어지지 않았습니다. 공격자는 Drift에 이미 사용 권한이 부여된 기존 토큰을 제시했습니다. 비밀번호를 입력하지 않았기 때문에 다단계 인증(MFA)도 아무런 역할을 하지 않았습니다. 시스템에 침입한 UNC6395는 데이터를 추출하여 AWS 키, Snowflake 토큰, 비밀번호 등의 자격 증명을 검색했습니다. Cloudflare, PagerDuty를 비롯한 수십 개의 서비스가 이 공격에 휘말렸습니다.
핵심은 Drift가 나쁜 앱이었다는 것이 아닙니다. 핵심은 설치 당시에는 신뢰할 수 있어 보이는 앱이라도 나중에 계정 정보가 도용되면 위험해질 수 있다는 것입니다. 보안 도구는 연결된 앱이 처음 설치 시 요청한 권한뿐만 아니라 시간이 지남에 따라 어떤 활동을 하는지 지속적으로 모니터링해야 합니다.
대부분의 OAuth 보안 도구는 앱이 연결되는 순간 작동합니다. 요청된 권한이 과도한지 확인하고, 알 수 없는 공급업체의 앱을 표시합니다. 이는 매우 유용한 기능이며, 반드시 수행해야 합니다. 하지만 이것만으로는 충분하지 않습니다.
널리 알려지고 신뢰할 수 있으며 적절한 권한을 가진 앱이라면 이러한 검사를 쉽게 통과할 것입니다. 하지만 6개월 후 해당 앱의 계정 정보가 도용당한다면, 설치 시 검토로는 아무것도 잡아낼 수 없습니다. 위험은 이미 발생한 후에 생기는 것이기 때문입니다.
OAuth가 설계되었을 당시에는 IT 부서에서 승인한 소수의 앱이 공유 캘린더에 제한적으로 접근하는 것이 일반적인 사용 사례였습니다. 이는 관리 가능한 상황이었습니다. 하지만 오늘날에는 모든 직원이 각자 AI 도구, 메모 앱, 자동화 플랫폼, 생산성 향상 도구 등을 업무용 계정에 연결합니다. 각 연결마다 토큰이 생성되며, 이러한 토큰은 자동으로 만료되지 않습니다. 대부분의 조직은 보유하고 있는 토큰의 개수를 알지 못합니다.
AI 도구가 업무 환경에 보편화됨에 따라 환경 내 OAuth 연결 수도 증가할 것입니다. 직원들의 AI 도구 사용을 완전히 차단하는 것은 현실적이지 않으며, 신뢰할 수 있고 승인된 통합을 통해 시작된 드리프트 공격 역시 그러한 차단 방식으로는 막을 수 없었을 것입니다.
먼저 Google Workspace 또는 Microsoft 365 환경에 연결된 모든 OAuth 앱 목록을 가져오세요. 두 플랫폼 모두 관리자가 타사 도구 없이 이 작업을 수행할 수 있습니다. 익숙하지 않은 앱, 퇴사한 직원의 계정에 연결된 앱, "모든 메일 읽기" 또는 "모든 파일 액세스"와 같이 광범위한 권한을 가진 앱을 찾아보세요. 이러한 앱들이 우선적으로 검토하고 권한을 취소해야 할 앱입니다.
그 후에는 분기별로 OAuth 권한을 검토하는 습관을 들이세요. 처음 정리를 하고 나면 생각보다 시간이 적게 걸리고, 목록이 다시 감당하기 어려워지는 것을 방지할 수 있습니다. 직원이 퇴사할 때는 비밀번호 재설정 및 계정 비활성화와 함께 OAuth 권한 취소를 퇴사 절차 체크리스트에 포함시키세요.
사이버후트 참여 단계
이번 주에는 Google 관리 콘솔이나 Microsoft Entra 포털에 로그인하여 연결된 타사 앱 목록을 확인하세요. 앱 개수를 세어보면 아마 놀라실 겁니다. 가장 익숙하지 않은 앱 다섯 개를 골라 액세스 권한을 검토하고, 권한이 없는 앱은 모두 취소하세요. 이 간단한 조치만으로도 조직의 보안을 크게 강화할 수 있습니다. 지금 바로 실행해 보세요!
admin.google.com → Users → [User] → Security → Connected Applications
learn.microsoft.com/en-us/entra/identity/enterprise-apps/manage-application-permissions
최신 사이버 보안 동향, 팁, 모범 사례를 알아보고 공유하세요. 또한 주의해야 할 새로운 위협도 알려드립니다.
MDASH와 Claude Mythos Preview라는 새로운 벤치마크 데이터가 제로데이 취약점을 찾아내는 데 가장 뛰어난 AI 에이전트로 선정되었습니다.
더보기
비밀번호 하나를 잊어버려서 하마터면 큰일 날 뻔했습니다. 한 소매점의 윈도우 컴퓨터에 캐시된 비밀번호 때문에 큰 문제가 발생했습니다...
더보기
