지난 7월 마이크로소프트는 미국 정부 기관을 포함한 약 25개 조직의 이메일 계정이 해커의 공격을 받았다고 보고했다. 중국 기반 집단으로 추정되는 스톰-0558(Storm-0558)은 마이크로소프트 계정 고객 키를 사용해 토큰을 위조하고 OWA(Outlook Web App) 및 Outlook.com에 액세스하고 민감 이메일 계정에 대한 접근 권한을 얻은 것으로 알려졌다. 

스톰-0558의 공격이 발견된 것은 한 외부 조사관과 잘 만들어진 로그 파일 덕분이었다. 해당 로그 파일에서 계정에 액세스할 권한이 없는 사람이 비정상적인 방법으로 기술 자산을 연 사실이 발견된 것이다. 

마이크로소프트의 설명을 읽고 필자가 이해한 바로는 누군가가 데스크톱 클라이언트에서 이메일을 연 것이 아니라 다른 비정상적인 방법을 사용했다. 조사는 그 사실에서 시작됐다. 이후 마이크로소프트는 고객 기반 계정 서명 키가 자격증명 위조에 사용됐다는 사실을 발견했다. 공격자가 키를 획득한 과정을 알아낸 결과, 몇 년 전에 위협을 예견했더라면 침입을 막을 수 있었다는 점이 드러났다. 

기사 더 읽기