신원 기반 보안 기술과 SaaS 애플리케이션 보호에 대한 관심이 높아지는 가운데, 엔터프라이즈 ID 서비스 보호 솔루션 기업 셈페리스(Semperis)는 마이크로소프트 엔트라 ID(Microsoft Entra ID) 연동 구조에서 발견된 엔오스(nOAuth) 취약점이 여전히 다수의 SaaS 환경에 영향을 미치고 있음을 확인했다. 엔오스 오픈 ID 커넥트(OpenID Connect)구현상의 구조적 결함을 악용해 교차 테넌트 인증을 우회하고, 이메일 주소만으로 계정 탈취가 가능한 심각한 위협으로 분류된다. 다중인증(MFA), 조건부 접근 제어, 제로 트러스트와 같은 보안 메커니즘도 무력화될 수 있어 보안 커뮤니티에 경종을 울리고 있다.

셈페리스는 이번 발표에서 엔트라 애플리케이션 갤러리(Entra Application Gallery)에 등록된 100개 이상의 SaaS 통합 앱을 테스트했으며, 이 중 약 10%가 여전히 엔오스에 취약하다는 결과를 공개했다. 이 문제는 특히 미국과 영국의 중요 인프라에 영향을 줄 수 있는 수준이며, SaaS 벤더 대부분은 이 공격 방식의 존재를 인식하지 못하고 있는 상황이다. 

구조적 취약점과 방어 회피 기술

엔오스는 인증 과정에서 사용자 식별에 사용되는 이메일 클레임의 검증 미비를 노린다. 이로 인해 공격자는 자신의 테넌트에서 엔트라 ID 앱 구성을 변경하고, 피해자의 이메일 주소를 설정하여 인증 요청을 시도할 수 있다. 이 방식은 오픈ID 커넥트의 알려진 안티패턴 중 하나이며, 마이크로소프트 엔트라 플랫폼의 설정 방식과 일부 SaaS 앱의 인증 로직 결함이 복합적으로 작용해 가능해진다. 더욱이 이 공격은 흔적을 거의 남기지 않으며, 기존 방어 수단이 탐지하지 못해 지속적인 침투 및 측면 이동이 가능하다.

셈페리스의 ID 설계 총괄 에릭 우드러프(Eric Woodruff)는 "많은 개발자들이 잘못된 구현 패턴을 따르고 있으며, 무엇을 점검해야 하는지도 알지 못하는 상황"이라고 지적했다. 이는 기업 고객 입장에서 매우 위협적인 요소로 작용하며, 현실적으로 대응이 어렵다는 점에서 긴급한 패치와 대응 프로세스 정립이 필요하다.

보안 권고와 업계 대응 현황

셈페리스는 해당 연구 결과를 2024년 12월부터 마이크로소프트 및 관련 SaaS 공급업체에 통보해왔다. 일부 벤더는 이후 인증 구성과 애플리케이션 보안을 개선했으나, 여전히 다수의 앱이 취약 상태로 남아 있는 것으로 파악됐다. 마이크로소프트는 자사 보안 대응 센터(MSRC)를 통해 SaaS 벤더들이 엔오스 방어 가이드를 따르지 않을 경우 Entra 애플리케이션 갤러리에서 제외될 수 있다고 경고했다.

우드러프는 "엔오스는 구현이 쉽고 탐지가 어려워, 공격자에게 매우 유리한 수단"이라며 "지금 당장 개발자들이 필요한 보안 업데이트를 적용하지 않으면 대규모 보안 사고로 이어질 수 있다"고 강조했다. 엔오스는 특정 코드 수정 없이도 공격이 가능한 구조적 결함이기 때문에 SaaS 벤더의 보안 의식 개선과 체계적인 인증 프로세스 점검이 필수적이다.

셈페리스는 이번 연구 외에도 지속적으로 신원 기반 위협에 대한 보안 기술을 확장하고 있다. 최근 윈도우 서버 2025에 새롭게 도입된 권한 상승 취약점인 배드석세서(BadSuccessor)를 탐지하고 방어하는 기능을 디렉토리 서비스 프로텍터(Directory Services Protector) 플랫폼에 탑재했다. 또한, 2023년에는 솔라윈즈(SolarWinds) 사태에서 사용된 골든(Golden) SAML 공격 기법을 우회하는 변종 기술인 실버(Silver) SAML을 발견한 바 있으며, 이는 엔트라 ID 통합 환경에서도 탐지가 어려운 고급 위협에 속한다.

셈페리스는 AI 기반 위협 탐지 및 복원력 강화를 위한 지속적인 연구와 제품 업데이트를 통해 엔터프라이즈 환경에서의 ID 보안 체계를 정교화하고 있다. 이번 엔오스 사례는 인증 체계 설계의 미세한 결함이 실제 기업 자산에 큰 위협으로 작용할 수 있음을 보여주는 경고 사례로, 기업 전반에 걸친 보안 정책의 재검토를 요구하고 있다.