[논문]침해된 웹 SSO 계정 보호를 위한 보안 조치 실험 연구

남지현; 최형기

doi:10.13089/jkiisc.2021.31.5.941

침해된 웹 SSO 계정 보호를 위한 보안 조치 실험 연구
Measurement of Remediation for Compromised User Account of Web Single Sign-On (SSO) 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.31 no.5, 2021년, pp.941 - 950

초록
AI-Helper

계정 통합 시스템(SSO)은 다수의 웹사이트 계정 비밀번호를 통합 관리하기 때문에 높은 보안이 요구된다. 계정 통합 시스템을 이용하는 사용자는 웹사이트 로그인 시 주인증기관(IdP)을 통해 인증된다. 본 논문에서는 주인증기관 계정이 탈취된 사용자의 피해를 최소화하기 위하여 주인증기관이 취할 수 있는 보안 요구사항을 제시한다. 이를 만족하지 않을 시 발생하는 보안 위협을 설명한다. 실험을 통해 주인증기관이 보안 요구사항을 만족하지 않으면 사용자가 공격을 인지하더라도 공격자의 세션을 취소시킬 수 없음을 증명한다.

Abstract ▼ AI-Helper

Single Sign-On (SSO) service manages user's account passwords from multiple websites so that security in a high level is required. Users who use the SSO service are authenticated through the Identity Provider (IdP) when logging into the website. We present the security requirements that IdP can take in order to minimize the user's risk whose IdP account is compromised. We describe the security threats that arise when the security requirements are not satisfied. Through evaluation, we prove that the attacker's session cannot be canceled even if the user recognizes the attack if the IdP does not satisfy the security requirements.

주제어

표/그림 (6)

그림 Fig. 1. User communicate with IdP to login into IdP and linked RP
그림 Fig. 2. Process of analyzation of session remediation between attacker and user PCs for each IdP
표 Table 1. Measurement result of RP and IdP session remediation after each account management actions. (M: Modify, A: Add, D: Delete, C: Change, AC: Activate, DA, Deactivate) Unit: Number of IdPs(%)
표 Table 2. Measurement result of re-authentication after each account management actions. (M: Modify, A: Add, D: Delete, C: Change, AC: Activate, DA, Deactivate)(Pass*: Password, PI**: Personal Information) Unit: Number of IdPs(%)
표 Table 3. Example of four IdP which provide re-authentication for SMS 2FA
표 Table 4. List of IdP websites and number of RPs authenticated by each IdP.

AI 본문요약
AI-Helper

문제 정의

SSO 이용 시 IdP에서 사용자 인증이 이루어지며 계정 보안의 핵심 역할을 수행한다. 본 논문에서는 IdP가 사용자 계정 보호를 위해 제공해야 하는 보안 요구사항을 규정하였다. IdP는 공격자가 계정을 탈취한 상황을 가정하여 1) 세션 차단과 2) 계정 장악 방어를 제공해야 한다.
본 논문은 사용자 계정 보호를 위해 주인증기관이 제공해야 하는 보안 요구사항을 제시하고, 이를 만족하지 않을 시 발생하는 보안 위협을 설명한다. 실제 주인증기관을 대상으로 보안 요구사항 만족 여부를 실험하기 위해 크롤러를 작성하여 Alexa 상위 1,000개 웹사이트에서 주인증기관과 서비스기관을 식별한다.
실험 결과 26개 주인증기관 중 96% 주인증기관의 사용자 계정에서 연동된 서비스 기관 계정과 부분적으로 단절되어 있음을 증명하였다. 주인증기관과 서비스기관 간 계정 단절 문제를 보완하기 위해 주인증기관이 서비스기관에게 계정의 로그인 상태 변경을 요청하는 프로토콜을 제안한다.

가설 설정

공격자가 사용자 IdP 계정의 비밀번호를 획득한 경우 2FA SMS가 활성화되어 있다면 네 개의 IdP 계정에 모두 로그인할 수 없다. 공격자의 로그인 가능성 분석을 위해 2FA SMS가 비활성화되어 있는 상황을 가정한다. 공격자가 사용자 IdP 계정 비밀번호를 획득하고 2FA SMS가 비활성화되어 있는 경우 Vkontakte의 SMS 활성 기능을 제외한 나머지 기능은 모두 변경 가능하다.

제안 방법

공격자들은 이 점을 노려서 사용자들의 IdP 계정을 탈취하려는 시도를 한다. IdP 계정이 탈취된 사용자의 피해를 최소화하기 위하여 IdP가 취할 수 있는 보안 요구사항을 소개한다. IdP는 공격자가 임의로 사용자의 계정을 변경하지 못하도록 방어하고, 공격자를 사용자 계정에서 강제로 로그아웃시켜야 한다.
본 논문은 웹상에서의 IdP와 RP 간의 세션 취소에 초점을 맞춰 진행하였으며 연구의 중심을 RP가 아닌 사용자 인증을 수행하는 IdP로 선정하였다. IdP 비밀번호 및 쿠키가 탈취된 공격 상황을 가정하여 IdP가 제공하는 26개 세션 취소 기능에서 보안 요구사항을 만족하는지 분석하였다. 26개 IdP를 대상으로 보안성 점검을 진행함으로써 단일 IdP에 대한 연구 결과에서 발생하는 바이어스를 절감하였다.
OpenID의 방안은 1) 사용자 프라이버시, 2) 시스템 부하와 사용성, 3) IdP 계정 삭제 시 RP 계정 삭제, 4) 세션 취소 결과 검토를 고려하지 않았다. SSO를 구현하는 프로토콜에 OpenID 기반의 해결 방안을 적용하기 위해 보완점을 제시한다. 1) 프라이버시 보호를 위해 RP 세션에 대한 정보를 IdP에 노출을 방지해야 한다.
본 논문은 웹상에서의 IdP와 RP 간의 세션 취소에 초점을 맞춰 진행하였으며 연구의 중심을 RP가 아닌 사용자 인증을 수행하는 IdP로 선정하였다. IdP 비밀번호 및 쿠키가 탈취된 공격 상황을 가정하여 IdP가 제공하는 26개 세션 취소 기능에서 보안 요구사항을 만족하는지 분석하였다.
IdP는 공격자가 계정을 탈취한 상황을 가정하여 1) 세션 차단과 2) 계정 장악 방어를 제공해야 한다. 실제 IdP가 보안 요구사항을 만족하고 있는지 점검하기 위해 실태조사를 수행하였다. 1) 세션 차단은 IdP 인증 정보가 변경되거나 계정 사용 중지 시 해당 계정과 연동된 모든 세션을 취소하는지 실험하였다.
유명한 IdP와 RP들을 수집하고 IdP가 공격자의 세션을 차단하는지와 계정 장악 시도에 얼마나 안전한지를 실험을 통해서 알아본다. 분석 대상 IdP 및 RP의 선정 방법과 실험 방법 및 결과와 의미에 대하여 토론한다.
실제 주인증기관을 대상으로 보안 요구사항 만족 여부를 실험하기 위해 크롤러를 작성하여 Alexa 상위 1,000개 웹사이트에서 주인증기관과 서비스기관을 식별한다. 주인증기관에서 사용자 계정의 인증 정보를 변경한 뒤, 서비스기관에서의 로그인 상태 변경 여부를 실험한다. 실험 결과 26개 주인증기관 중 96% 주인증기관의 사용자 계정에서 연동된 서비스 기관 계정과 부분적으로 단절되어 있음을 증명하였다.
IdP가 보안 요구사항을 만족하지 않으면 사용자가 공격을 인지하더라도 공격자의 세션을 취소시킬 수 없다. 해결을 위해 IdP에서 RP 세션을 식별하고 관리하는 프로토콜을 제안하였다.

대상 데이터

선정된 IdP 및 RP의 리스트는 부록에 명시하였다. 분석 대상에 대해 총 162개의 계정을 새로 생성하여 로그인을 위한 이메일, 전화번호 등의 정보를 추가하였다.
본 논문은 사용자 계정 보호를 위해 주인증기관이 제공해야 하는 보안 요구사항을 제시하고, 이를 만족하지 않을 시 발생하는 보안 위협을 설명한다. 실제 주인증기관을 대상으로 보안 요구사항 만족 여부를 실험하기 위해 크롤러를 작성하여 Alexa 상위 1,000개 웹사이트에서 주인증기관과 서비스기관을 식별한다. 주인증기관에서 사용자 계정의 인증 정보를 변경한 뒤, 서비스기관에서의 로그인 상태 변경 여부를 실험한다.
식별된 웹사이트 중 분석 과정에서 계정 생성 시 서버 오류로 인해 웹사이트에 방문할 수 없는 경우, 앱에서만 인증 정보를 관리할 수 있는 경우, 웹에서 로그인 불가한 경우 등의 오류가 발생하는 웹사이트는 분석 대상에서 제외하였다. 자격이 되지 않는 웹사이트를 제외한 26개의 IdP와 133개의 RP를 분석 대상으로 선정한다. 선정된 IdP 및 RP의 리스트는 부록에 명시하였다.
다음은 (3) IdP와 RP 계정의 연동 해제 실험 결과이다. 전체 26개 IdP 중 연동 해제를 제공하지 않는 6개 IdP와 RP의 구현 오류로 인해 실험을 진행할 수 없는 3개 IdP를 제외한 17개 IdP를 대상으로 실험을 진행하였다. 실험 결과 어떠한 IdP도 RP 세션을 취소시키지 않았다.

성능/효과

(1) IdP 인증 정보 변경의 8개 기능 중 가장 높은 세션 취소율을 보이는 기능은 비밀번호 변경이다. 비밀번호 변경은 수행 시 73.
(2) IdP 로그인 방식 변경의 15개 기능 중 7개 기능 수행 시에만 IdP가 세션을 취소시키며 최대 취소율은 11.54%이다. 나머지 8개 기능은 수행 시 IdP 세션을 취소시키지 않는다.
(4) IdP 계정 비활성화 및 삭제의 2개 기능 중 계정 비활성화는 23.08%, 계정 삭제는 42.31%의 IdP만 세션을 취소시킨다. 계정 비활성화 및 삭제 시 IdP에서 공격자의 세션을 취소시키지 않으면 사용자는 IdP 계정에 로그인할 수 없지만 공격자는 유지되는 세션을 통해 로그인 가능하다.
실제 IdP가 보안 요구사항을 만족하고 있는지 점검하기 위해 실태조사를 수행하였다. 1) 세션 차단은 IdP 인증 정보가 변경되거나 계정 사용 중지 시 해당 계정과 연동된 모든 세션을 취소하는지 실험하였다. 2) 계정 장악 방어는 IdP 인증 정보 변경 시 사용자 재인증을 수행하고 알림을 제공하는지 실험하였다.
SSO를 구현하는 프로토콜에 OpenID 기반의 해결 방안을 적용하기 위해 보완점을 제시한다. 1) 프라이버시 보호를 위해 RP 세션에 대한 정보를 IdP에 노출을 방지해야 한다. IdP는 RP 세션을 식별하기 위해 RP의 로그인 요청마다 세션 식별자를 발급한다.
1) 세션 차단은 IdP 인증 정보가 변경되거나 계정 사용 중지 시 해당 계정과 연동된 모든 세션을 취소하는지 실험하였다. 2) 계정 장악 방어는 IdP 인증 정보 변경 시 사용자 재인증을 수행하고 알림을 제공하는지 실험하였다. 실험 결과 26개 IdP 중 96%가 보안 요구사항을 만족하지 않았다.
이는 RP 세션의 기본 정보로 IdP는 RP에서 수행된 사용자 작업을 추적할 수 없다. 2) 시스템 부하와 사용성을 고려하여 RP 세션을 취소하는 주기를 결정해야 한다. 사용자의 계정이 탈취된 경우에만 RP 세션을 취소하고 그 외의 경우는 사용성과 부하를 위해 RP 세션을 유지한다.
사용자의 계정이 탈취된 경우에만 RP 세션을 취소하고 그 외의 경우는 사용성과 부하를 위해 RP 세션을 유지한다. 3) IdP는 계정을 삭제하기 전 연동된 RP들에게 삭제 사실을 통보해야 한다. 사용자가 IdP 계정을 삭제하면 IdP는 로그아웃 토큰에 계정 삭제 파라미터를 추가하여 RP에게 전달한다.
사용자가 IdP 계정을 삭제하면 IdP는 로그아웃 토큰에 계정 삭제 파라미터를 추가하여 RP에게 전달한다. 4) IdP는 RP가 정상적으로 세션 취소 요청을 완료하였는지 확인해야 한다. IdP는 로그아웃 토큰에 취소시킬 RP의 세션 식별자를 파라미터로 추가하여 발급한다.
실험 결과 26개 IdP 중 96%가 보안 요구사항을 만족하지 않았다. IdP가 보안 요구사항을 만족하지 않으면 사용자가 공격을 인지하더라도 공격자의 세션을 취소시킬 수 없다. 해결을 위해 IdP에서 RP 세션을 식별하고 관리하는 프로토콜을 제안하였다.
계정이 탈취된 후 사용자가 IdP 인증 정보를 변경하거나 계정 사용을 중지하면 공격자 세션을 포함해서 이 계정과 연동된 세션들의 취소 여부를 실험하여 SSO 운영의 안정성을 평가한다.
분석 결과 26개 IdP의 96%가 인증 정보 변경 및 계정 사용 중지 시 연동된 RP의 세션을 취소시키지 않았다. 그 원인은 IdP 계정과 RP 계정이 부분적으로 단절되어 있는 것으로 밝혀졌다.
2) 계정 장악 방어는 IdP 인증 정보 변경 시 사용자 재인증을 수행하고 알림을 제공하는지 실험하였다. 실험 결과 26개 IdP 중 96%가 보안 요구사항을 만족하지 않았다. IdP가 보안 요구사항을 만족하지 않으면 사용자가 공격을 인지하더라도 공격자의 세션을 취소시킬 수 없다.
주인증기관에서 사용자 계정의 인증 정보를 변경한 뒤, 서비스기관에서의 로그인 상태 변경 여부를 실험한다. 실험 결과 26개 주인증기관 중 96% 주인증기관의 사용자 계정에서 연동된 서비스 기관 계정과 부분적으로 단절되어 있음을 증명하였다. 주인증기관과 서비스기관 간 계정 단절 문제를 보완하기 위해 주인증기관이 서비스기관에게 계정의 로그인 상태 변경을 요청하는 프로토콜을 제안한다.
웹사이트별로 사용자 계정을 관리하는 어려움을 해소하기 위해 웹사이트는 SSO를 적용하여 사용자 편리성을 높이고 있다. SSO 이용 시 IdP에서 사용자 인증이 이루어지며 계정 보안의 핵심 역할을 수행한다.
나머지 8개 기능은 수행 시 IdP 세션을 취소시키지 않는다. 일부 로그인 방식 변경 기능에서만 세션을 취소하는 IdP를 대상으로 추가적인 안정성 점검을 수행하였다.

참고문헌 (10)

J.D. Clercq, "Single sign-on architectures," Proceedings of International Conference on Infrastructure Security, LNCS 2437, pp. 40-58, Oct. 2002.
S.T. Sun and K. Beznosov, "The devil is in the (implementation) details: An empirical analysis of OAuth SSO systems," Proceedings of 2012 ACM Conference on Computer and Communications Security, pp. 378-390, Oct. 2012.
C. Yue, "The devil is phishing: rethinking web single sign-on systems security," Proceedings of 6th USENIX Workshop on Large-Scale Exploits and Emergent Threats, Aug. 2013.
D. Hardt, "The OAuth 2.0 authorization framework," RFC 6749, Oct. 2012.
OpenID.net, "OpenID connect core 1.0 incorporating errata set 1," https://openid.net/specs/openid-connect-core-1_0.html, Sep. 2021.
OASIS, "Assertions and protocols for the OASIS security assertion markup language (SAML) V2.0," http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf, Sep. 2021.
Github, "Puppeteer," https://github.com/puppeteer/puppeteer, Sep. 2021.
OpenID.net, "OpenID connect back-channel logout 1.0 - draft 06," https://openid.net/specs/openid-connect-backchannel-1_0.html, Sep. 2021.
M. Ghasemisharif, A. Ramesh, S. Checkoway, C. Kanich, and J. Polakis, "O single sign-off, where art thou? An empirical analysis of single sign-on account hijacking and session management on the web," Proceedings of 27th USENIX Security Symposium, pp. 1475-1492, Aug. 2018.
R. Yang, G. Li, W.C. Lau, K. Zhang, and P. Hu, "Model-based security testing: an empirical study on OAuth 2.0 implementations," Proceedings of 11th ACM on Asia Conference on Computer and Communications Security, pp. 651-662, May 2016.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증