지난 달 발생한 트윌리오 해킹 사고는 보안 역사상 대단히 충격적인 수준의 사건까지는 아니었다. 그러나 현대 기업들이 구사하고 있는 아이덴티티 보호 전략을 되돌아보게 하는 중요한 사건 정도는 된다. 해당 사건을 통해 점검해야 할 것들을 정리한다.
[보안뉴스 문가용 기자] 지난 8월, 고객 관리 플랫폼인 트윌리오(Twilio)에서 옥타퍼스(Oktapus)라고 이름이 붙은 피싱 캠페인이 진행되고 있었다는 사실이 발견됐다. 트윌리오와 콘텐츠 배포 네트워크인 클라우드플레어(Cloudflare) 임직원들의 옥타(Okta) 크리덴셜이 표적이었다. 공격자들이 사용한 피싱 기법은 그리 수준이 높지 않았지만, 130개 이상의 조직들이 이 공격의 영향을 받았다. 결국 공격자들은 옥타 크리덴셜 1만 개 세트를 가져가는 데 성공했다.
[이미지 = utoimage]
간략한 사건의 정리
사건은 다음의 순서로 발생한 것으 현재까지 정리되고 있다.
1) 공격자들이 트윌리오 IT 부서인 척 직원들에게 문자 메시지를 보냈다.
2) 로그인을 하라는 내용이었는데, 여기에 속은 직원들 일부가 회사용 로그인 크리덴셜과 이중인증 코드를 공격자들에게 넘겼다.
3) 이 과정에서 옥타를 통한 싱글사인온 기능을 활용하던 계정들이 특히 표적이 됐다.
4) 직원 계정으로 로그인 한 공격자들은 트윌리오 고객사들로도 공격을 이어갔다.
5) 그러면서 옥타 싱글사인온 크리덴셜이 다수 채집됐다.
이 사건은 현대 인프라에 대한 여러 가지 질문을 우리에게 던진다. 우리가 가진 아이덴티티와 접근 관리(IAM) 전략은 유효한가? 트윌리오 사건과 비슷한 공격이 또 일어난다면 우리는 막을 수 있다고 장담할 수 있는가? 그 외에도 우리가 얻어야 할 교훈을 다음 몇 가지 질문을 통해 알아보도록 하자.
1. 공격 통로로서 아이덴티티의 인기가 오르는 이유는 무엇인가?
디지털 아이덴티티인 옥타 크리덴셜이 탈취됐다. 공격의 통로로서 아이덴티티는 해커들 사이에서 인기가 꾸준히 높아지는 중이다. 그래서 크리덴셜을 수집할 수 있는 방법들이 꾸준히 개발되고, 이를 통해 공격자들은 계속해서 정상적인 접근을 실시할 수 있게 된다. 여러 다양한 기술들의 상호의존성이 갈수록 높아지고, 그에 따라 테크놀로지 생태계가 계속해서 복잡해지는 가운데 아이덴티티 하나가 공격자들에게 노출되면 파급력이 커질 수밖에 없다.
사이버 보안 업체 스파이클라우드(SpyCloud)의 수석 보안 연구원인 더스틴 워런(Dustin Warren)은 “원격 근무가 널리 도입되고, 디지털 라이프라는 게 우리 삶 깊숙한 곳에까지 도달함에 따라 디지털 아이덴티티로부터 시작되는 일상의 작업들이 굉장히 많아졌다”고 설명한다. “그리고 이 디지털 아이덴티티라는 것을 통해 우리는 일상과 업무의 경계선을 쉽게 넘나들 수 있게 됐죠. 공격자들이 여기에 집중할 만합니다.” 이제 각 조직 구성원의 아이덴티티도 보안이 보호해야 할 영역이다.
2. 다중인증, 얼마나 효과가 있는가?
아이덴티티 보호에 있어 다중인증 시스템의 도입은 필수불가결의 요소로 취급을 받는다. 하지만 여기서 주의해야 할 것이 하나 있는데, 다중인증으로 아이덴티티 문제가 완벽히 해결되지 않는다는 것이다. 옥타푸스 캠페인이 바로 이 점을 적나라하게 드러낸다. 공격자들은 이중인증을 통과하기 위한 크리덴셜 수천 개를 훔쳐가는 데 성공함으로써 다중인증마저 무용지물로 만들었기 때문이다.
예일법대의 정보사회프로젝트 특별 참여자인 션 오브라이언(Sean O’Brien)은 “문자 메시지 등 비교적 약한 인증 요인들을 활용하여 다중인증 시스템을 구축하면 그리 효과가 좋지 못하다”고 말한다. “다중인증의 효과를 제대로 살리려면 인증 전용 애플리케이션을 통해 발급되는 1회용 비밀 코드나 물리 키처럼 강력한 인증 요소를 활용하는 게 좋습니다.”
트윌리오와 클라우드플레어를 노린 이번 피싱 캠페인의 경우 물리 키 덕분에 피해가 다소 줄어들기도 했다. 일부 트윌리오 및 클라우드플레어 직원들이 공격자들의 피싱 메시지에 속았지만 물리 키를 사용해야 하는 단계에서 공격이 중단된 것이다.
3. 아이덴티티들이 어디에 호스팅 되어 있고 어떻게 관리되고 있는가?
한 네트워크 내에 아이덴티티 전체 목록과, 그 아이덴티티들로 접근할 수 있는 자산들의 목록을 같은 네트워크 안에 두는 것은 조직을 보호하는 데에 있어 매우 효과적인 전략이다. 어떤 아이덴티티가 어떤 식으로 활용되는지 한 눈에 볼 수 있게 해 주기 때문이다. 하지만 52%의 조직들이 아직도 아이덴티티와 관련된 가시성을 확보하지 못하고 있다. 어떤 아이덴티티가 어느 정도의 권한을 가지고 있고, 그러므로 어느 자원들에 접근할 수 있는지 알지 못한다는 것이다.
워런은 “점점 더 많은 기업들이 사이버 리질리언스라는 것에 투자하고 있지만, 공격자들은 이전보다 더 교묘하고 기술적인 침투 경로를 발굴하고 있다”고 설명한다. “공격자들이 어디서 주로 공격 경로를 발견할까요? 간단합니다. 방어자들이 보지 못하는 곳, 즉 사각지대에서입니다. 사실 지금의 사이버 보안 전문가들과 해커들은 누가 먼저 사각지대에 발을 들여놓느냐를 두고 시합을 벌이는 중이라고도 말할 수 있습니다.”
4. 우리 벤더들로부터 발생하는 위험 요인들은 무엇인가?
현대의 네트워크 환경에서 ‘우리 회사만의 리스크’를 진단한다는 것만으로는 부족해도 한없이 부족하다. 사이버 아키텍처는 이미 조직과 조직 간 경계를 무너트렸으며, 특히 파트너십을 맺고 있는 IT 벤더사와 고객사의 네트워크는 서로를 향해 문을 활짝 열고 있는 상황이다. 그렇기 때문에 서로가 서로의 위험 요인으로서 작용하기에 충분하다. 트윌리오에서의 피싱 캠페인이 왜 수많은 트윌리오 고객사에도 직접적인 악영향을 미쳤는지를 생각해보면 이 점을 납득할 수 있을 것이다.
가상 CISO 서비스 업체인 사이드채널(SideChannel)의 CEO 브라이언 호글리(Brian Haugli)는 “벤더의 서비스가 어떻게 연결되어 있고, 네트워크의 어느 부분에서 주로 활용되는지 파악하는 건 요즘 보안에 있어 필수적인 작업”이라고 주장한다. “우리가 아무리 잘해도 벤더사 직원 한 명의 실수가 모든 것을 무용지물로 만들 수 있는 시대라는 걸 간과해서는 안 됩니다.”
5. 우리 회사의 아이덴티티 보호 전략, 산업 표준 수준에 미치는가?
보안 리스크를 평가하고 완화시키는 건 복잡하고 어려운 일이다. 그렇기에 국가 기관이나 그에 준하는 단체가 표준을 정해두고, 따를 것을 권장하는 것이다. 호글리는 “그러나 그런 표준들은 대부분 최소한의 조건을 내거는 것이라 ‘시작점’으로서는 좋지만 그것만으로 완벽하다고 보기는 힘들다”고 강조한다. 어디서부터 리스크 관리를 시작해야 할 지 모르는 경우에 표준들부터 검토하는 게 좋지, 표준 지킨 것으로 보안 체계를 완성했다고 착각하지 말라는 뜻이다.
트윌리오 피싱 캠페인과 유사한 사건이 앞으로도 계속해서 발생할 확률은 99.99%다. 공격자들은 계속해서 아이덴티티를 노릴 것이고, 가져갈 방법을 고안할 것이다. “끊임없이 방어 대책을 강구해야 합니다. 이전에 있었던 공격 전략에 대해서도, 아직까지 실현되지 않았지만 있을 법한 가상의 공격 전략에 대해서도 모두 대책을 마련해야 하지요. 한두 가지 해결책이나 기술을 가지고 보안을 완성했다고 여기지 않는 것이 가장 중요한 태도입니다.”
3줄 요약
1. 트윌리오 플랫폼을 덮친 옥타퍼스 피싱 캠페인.
2. 싱글사인온 크리덴셜과 이중인증 정보가 다수 유출됨.
3. 수준 낮은 공격이었음에도 수백 개 기업이 당함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 지난 8월, 고객 관리 플랫폼인 트윌리오(Twilio)에서 옥타퍼스(Oktapus)라고 이름이 붙은 피싱 캠페인이 진행되고 있었다는 사실이 발견됐다. 트윌리오와 콘텐츠 배포 네트워크인 클라우드플레어(Cloudflare) 임직원들의 옥타(Okta) 크리덴셜이 표적이었다. 공격자들이 사용한 피싱 기법은 그리 수준이 높지 않았지만, 130개 이상의 조직들이 이 공격의 영향을 받았다. 결국 공격자들은 옥타 크리덴셜 1만 개 세트를 가져가는 데 성공했다.
[이미지 = utoimage]
간략한 사건의 정리
사건은 다음의 순서로 발생한 것으 현재까지 정리되고 있다.
1) 공격자들이 트윌리오 IT 부서인 척 직원들에게 문자 메시지를 보냈다.
2) 로그인을 하라는 내용이었는데, 여기에 속은 직원들 일부가 회사용 로그인 크리덴셜과 이중인증 코드를 공격자들에게 넘겼다.
3) 이 과정에서 옥타를 통한 싱글사인온 기능을 활용하던 계정들이 특히 표적이 됐다.
4) 직원 계정으로 로그인 한 공격자들은 트윌리오 고객사들로도 공격을 이어갔다.
5) 그러면서 옥타 싱글사인온 크리덴셜이 다수 채집됐다.
이 사건은 현대 인프라에 대한 여러 가지 질문을 우리에게 던진다. 우리가 가진 아이덴티티와 접근 관리(IAM) 전략은 유효한가? 트윌리오 사건과 비슷한 공격이 또 일어난다면 우리는 막을 수 있다고 장담할 수 있는가? 그 외에도 우리가 얻어야 할 교훈을 다음 몇 가지 질문을 통해 알아보도록 하자.
1. 공격 통로로서 아이덴티티의 인기가 오르는 이유는 무엇인가?
디지털 아이덴티티인 옥타 크리덴셜이 탈취됐다. 공격의 통로로서 아이덴티티는 해커들 사이에서 인기가 꾸준히 높아지는 중이다. 그래서 크리덴셜을 수집할 수 있는 방법들이 꾸준히 개발되고, 이를 통해 공격자들은 계속해서 정상적인 접근을 실시할 수 있게 된다. 여러 다양한 기술들의 상호의존성이 갈수록 높아지고, 그에 따라 테크놀로지 생태계가 계속해서 복잡해지는 가운데 아이덴티티 하나가 공격자들에게 노출되면 파급력이 커질 수밖에 없다.
사이버 보안 업체 스파이클라우드(SpyCloud)의 수석 보안 연구원인 더스틴 워런(Dustin Warren)은 “원격 근무가 널리 도입되고, 디지털 라이프라는 게 우리 삶 깊숙한 곳에까지 도달함에 따라 디지털 아이덴티티로부터 시작되는 일상의 작업들이 굉장히 많아졌다”고 설명한다. “그리고 이 디지털 아이덴티티라는 것을 통해 우리는 일상과 업무의 경계선을 쉽게 넘나들 수 있게 됐죠. 공격자들이 여기에 집중할 만합니다.” 이제 각 조직 구성원의 아이덴티티도 보안이 보호해야 할 영역이다.
2. 다중인증, 얼마나 효과가 있는가?
아이덴티티 보호에 있어 다중인증 시스템의 도입은 필수불가결의 요소로 취급을 받는다. 하지만 여기서 주의해야 할 것이 하나 있는데, 다중인증으로 아이덴티티 문제가 완벽히 해결되지 않는다는 것이다. 옥타푸스 캠페인이 바로 이 점을 적나라하게 드러낸다. 공격자들은 이중인증을 통과하기 위한 크리덴셜 수천 개를 훔쳐가는 데 성공함으로써 다중인증마저 무용지물로 만들었기 때문이다.
예일법대의 정보사회프로젝트 특별 참여자인 션 오브라이언(Sean O’Brien)은 “문자 메시지 등 비교적 약한 인증 요인들을 활용하여 다중인증 시스템을 구축하면 그리 효과가 좋지 못하다”고 말한다. “다중인증의 효과를 제대로 살리려면 인증 전용 애플리케이션을 통해 발급되는 1회용 비밀 코드나 물리 키처럼 강력한 인증 요소를 활용하는 게 좋습니다.”
트윌리오와 클라우드플레어를 노린 이번 피싱 캠페인의 경우 물리 키 덕분에 피해가 다소 줄어들기도 했다. 일부 트윌리오 및 클라우드플레어 직원들이 공격자들의 피싱 메시지에 속았지만 물리 키를 사용해야 하는 단계에서 공격이 중단된 것이다.
3. 아이덴티티들이 어디에 호스팅 되어 있고 어떻게 관리되고 있는가?
한 네트워크 내에 아이덴티티 전체 목록과, 그 아이덴티티들로 접근할 수 있는 자산들의 목록을 같은 네트워크 안에 두는 것은 조직을 보호하는 데에 있어 매우 효과적인 전략이다. 어떤 아이덴티티가 어떤 식으로 활용되는지 한 눈에 볼 수 있게 해 주기 때문이다. 하지만 52%의 조직들이 아직도 아이덴티티와 관련된 가시성을 확보하지 못하고 있다. 어떤 아이덴티티가 어느 정도의 권한을 가지고 있고, 그러므로 어느 자원들에 접근할 수 있는지 알지 못한다는 것이다.
워런은 “점점 더 많은 기업들이 사이버 리질리언스라는 것에 투자하고 있지만, 공격자들은 이전보다 더 교묘하고 기술적인 침투 경로를 발굴하고 있다”고 설명한다. “공격자들이 어디서 주로 공격 경로를 발견할까요? 간단합니다. 방어자들이 보지 못하는 곳, 즉 사각지대에서입니다. 사실 지금의 사이버 보안 전문가들과 해커들은 누가 먼저 사각지대에 발을 들여놓느냐를 두고 시합을 벌이는 중이라고도 말할 수 있습니다.”
4. 우리 벤더들로부터 발생하는 위험 요인들은 무엇인가?
현대의 네트워크 환경에서 ‘우리 회사만의 리스크’를 진단한다는 것만으로는 부족해도 한없이 부족하다. 사이버 아키텍처는 이미 조직과 조직 간 경계를 무너트렸으며, 특히 파트너십을 맺고 있는 IT 벤더사와 고객사의 네트워크는 서로를 향해 문을 활짝 열고 있는 상황이다. 그렇기 때문에 서로가 서로의 위험 요인으로서 작용하기에 충분하다. 트윌리오에서의 피싱 캠페인이 왜 수많은 트윌리오 고객사에도 직접적인 악영향을 미쳤는지를 생각해보면 이 점을 납득할 수 있을 것이다.
가상 CISO 서비스 업체인 사이드채널(SideChannel)의 CEO 브라이언 호글리(Brian Haugli)는 “벤더의 서비스가 어떻게 연결되어 있고, 네트워크의 어느 부분에서 주로 활용되는지 파악하는 건 요즘 보안에 있어 필수적인 작업”이라고 주장한다. “우리가 아무리 잘해도 벤더사 직원 한 명의 실수가 모든 것을 무용지물로 만들 수 있는 시대라는 걸 간과해서는 안 됩니다.”
5. 우리 회사의 아이덴티티 보호 전략, 산업 표준 수준에 미치는가?
보안 리스크를 평가하고 완화시키는 건 복잡하고 어려운 일이다. 그렇기에 국가 기관이나 그에 준하는 단체가 표준을 정해두고, 따를 것을 권장하는 것이다. 호글리는 “그러나 그런 표준들은 대부분 최소한의 조건을 내거는 것이라 ‘시작점’으로서는 좋지만 그것만으로 완벽하다고 보기는 힘들다”고 강조한다. 어디서부터 리스크 관리를 시작해야 할 지 모르는 경우에 표준들부터 검토하는 게 좋지, 표준 지킨 것으로 보안 체계를 완성했다고 착각하지 말라는 뜻이다.
트윌리오 피싱 캠페인과 유사한 사건이 앞으로도 계속해서 발생할 확률은 99.99%다. 공격자들은 계속해서 아이덴티티를 노릴 것이고, 가져갈 방법을 고안할 것이다. “끊임없이 방어 대책을 강구해야 합니다. 이전에 있었던 공격 전략에 대해서도, 아직까지 실현되지 않았지만 있을 법한 가상의 공격 전략에 대해서도 모두 대책을 마련해야 하지요. 한두 가지 해결책이나 기술을 가지고 보안을 완성했다고 여기지 않는 것이 가장 중요한 태도입니다.”
3줄 요약
1. 트윌리오 플랫폼을 덮친 옥타퍼스 피싱 캠페인.
2. 싱글사인온 크리덴셜과 이중인증 정보가 다수 유출됨.
3. 수준 낮은 공격이었음에도 수백 개 기업이 당함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
