최근 신원 기반 공격이 고도화되면서 운영체제 자체의 서비스 계정 보안이 기업 및 공공 인프라의 취약점으로 떠오르고 있다. 특히 윈도우 서버(Windows Server)와 액티브 디렉토리(Active Directory) 기반 환경은 보편적인 사용에도 불구하고 구조적 보안 문제가 반복적으로 드러나고 있으며, 마이크로소프트의 최신 보안 개선도 특정 위협 앞에서는 한계를 보이고 있다. 이 가운데, ID 보안 기업들이 운영체제의 신기능을 겨냥한 선제적 위협 분석을 통해 보안 대응 역량을 강화하고 있다.

예측 가능한 구조를 이용한 비밀번호 생성 취약성

AI 기반 ID 보안 및 사이버 복원력 제공업체 셈페리스(Semperis)가  윈도우 서버 2025에서 작동하는 위임형 관리 서비스 계정(dMSA)의 구조적 설계 결함을 이용한 새로운 공격 기법인 ‘골든 dMSA(Golden dMSA)’를 공개했다. 해당 결함은 공격자가 액티브 디렉토리 전체에 무기한으로 침투할 수 있는 심각한 보안 위협을 초래할 수 있다고 밝혔다.

셈페리스는 골든 dMSA의 위험성을 입증하기 위해 자사 연구원 아디 말얀커(Adi Malyanker)가 직접 공격 논리를 통합한 ‘골든DMSA(GoldenDMSA)’라는 도구를 개발했다고 밝혔다. 이 도구는 실제 환경에서 해당 기법이 어떻게 악용될 수 있는지를 탐색, 평가 및 시뮬레이션할 수 있도록 설계됐다.

골든 dMSA는 윈도우 서버 2025에서 마이크로소프가 새롭게 도입한 보안 기능을 우회하거나 약화시키는 방식으로 작동하며, 핵심적으로 ManagedPasswordId 구조의 예측 가능성과 낮은 조합 수를 이용한 암호화 취약점을 기반으로 한다. ManagedPasswordId는 시간 기반으로 생성되며, 경우의 수가 1024개에 불과해 무차별 대입 공격을 통해 비밀번호가 계산적으로 쉽게 유추될 수 있다는 점이 핵심 문제다.

셈페리스는 이 공격 기법이 액티브 디렉토리 내의 관리 서비스 계정을 악용하여 도메인 간 수평 이동을 유도하고, 탐지 없이 권한을 유지할 수 있는 지속적 위협을 제공한다고 경고했다. 아디 말얀커는 “골든 dMSA는 서비스 계정의 비밀번호를 예측 가능한 방식으로 생성하고 이를 바탕으로 AD 환경 내에서 장기간 은폐될 수 있다.”라고 설명하며, “방어자와 연구자가 이 공격을 효과적으로 이해하고 대비할 수 있도록 골든DMSA 도구를 개발했다.”라고 밝혔다.

Microsoft ID 보안 위협 연속 분석...대응 기능 고도화

셈페리스는 이번 골든 dMSA 외에도 최근 Microsoft Entra ID의 알려진 취약점 ‘nOauth’에 대한 연구를 공개한 바 있다. 이 취약점은 최소한의 공격 노력만으로도 취약한 SaaS 애플리케이션에서 전체 사용자 계정 탈취가 가능하도록 한다. 이 외에도 Windows Server 2025에 도입된 새로운 기능을 겨냥한 심각한 권한 상승 공격인 ‘배드서세서(BadSuccessor)’ 기법도 발견됐으며, 이에 대응해 셈페리스는 ‘디렉토리 서비스 프로텍터(Directory Services Protector)’ 플랫폼에 탐지 기능을 추가했다고 밝혔다.

셈페리스는 과거에도 마이크로소프트 엔트ㅏ ID(Microsoft Entra ID) 통합 애플리케이션의 표준 방어 체계를 우회하는 솔라윈즈(Solawinds)시대의 골든 SAML(Golden SAML) 변종인 ‘실버 SAML(Silver SAML)’을 발견한 바 있다. 이처럼 셈페리스는 운영체제와 클라우드 ID 기반 시스템에서 발생 가능한 고위험 위협을 선제적으로 규명하고 이에 대응할 수 있는 기술 도구와 탐지 플랫폼을 개발하고 있다.

이번 골든 dMSA 취약점은 미국과 영국의 중요 인프라 보호에 직접적인 경고를 주는 사례로, AD 기반 환경을 운영하는 공공기관과 민간 기업 전반에 걸쳐 구조적 보안 검토 및 보완 조치가 요구된다. 셈페리스는 앞으로도 공격자보다 앞서 위협을 규명하고 탐지 능력을 고도화하는 데 연구 역량을 집중할 계획이다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BFPdoor 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPFdoor 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.