티켓마스터라는 유명 기업이 연루되어 있는데다가, 수억 단위로 묘사되는 사건 자체의 스케일이 눈에 띄는 통에 스노우플레이크 침해 사건은 최근 해외 보안 업계에서 큰 주목을 받고 있다. 하지만 스노우플레이크로서는 다소 억울할 만한 일이다.
[보안뉴스 문가용 기자] 지난 주부터 주요 기업과 기관에서 굵직한 데이터 유출 사고가 계속해서 터지고 있다. 지금까지 공개된 것만 티켓마스터(Ticketmaster) 5억 6천만 건, 산탄데르은행(Santander Bank)에서 3천만 건, 어드밴스오토파츠(Advance Auto Parts)에서 3억 8천만 건, 렌딩트리(LendingTree)에서 1억 9천만 건이다. 그 외에도 호주의 사이버보안센터(Cyber Security Center)가 호주 내에도 관련된 피해 조직들이 발견되고 있다고 밝혔다. 여러 IT 및 보안 매체들에서는 이번 사건이 어쩌면 사상 최대의 정보 침해 사고가 될 수도 있다고 대서특필했다.
[이미지 = gettyimagesbank]
‘사상 최대의 정보 침해 사고’라는 문구가 자극적이긴 하지만, 한 가지 숨은 뜻을 가지고 있기도 하다. 그건 바로 위에 열거한 사건들을 하나로 묶는 뭔가가 있다는 것이다. 저 사건들이 전부 개별 건이었다면 ‘최대의 사고’라는 수식어가 붙을 수 없다. 그 하나로 묶는 무언가는 유명 클라우드 업체인 스노우플레이크(Snowflake)다. 여태까지 밝혀진 바 저 어마어마한 피해를 입은 기업들은 전부 스노우플레이크의 고객사들이었고, 침해된 데이터 역시 스노우플레이크로부터 나간 것이었다.
스노우플레이크 책임?
IT 매체 테크크런치와 와이어드는 스노우플레이크가 아직 여러 가지 면에서 시원한 답을 내놓지 않고 있다는 어조의 기사를 내놓기도 했다. 티켓마스터는 아예 처음부터 스노우플레이크라는 서드파티 클라우드 업체로부터 데이터 유출이 발생했다고 손가락질 했었다. 그러면서 이번 사건이 그 흔한 서드파티 침해 사고의 일종이라는 결론이 일부 보안 전문가들 사이에서 나오기도 했었다. 이 때문에 이번 주 월요일에는 스노우플레이크의 주식이 떨어지기도 했다.
하지만 보안 업체 맨디언트가 사건 발생 후 한 주 뒤에 보고서를 발표했다. 결론부터 말하자면 ‘클라우드 플랫폼 보안에 대한 책임을 사용자와 플랫폼 업자가 공유한다는 개념이 부실하여 생긴 사건’이라는 것이었다. 보다 적나라하게 풀이하자면, ‘어느 정도 사용자가 잘못해서 발생한 사건’이라고도 할 수 있다. 맨디언트가 그렇게까지 직접적으로 표현하지는 않았다. 사용자 책임이 100%인 것도 아니다.
맨디언트는 이번 ‘스노우플레이크 사태’로 인해 영향을 받은 사용자 조직이 165개라고 발표했다. 위의 네 개 업체를 포함한 숫자로, 피해자들을 조사했을 때 몇 가지 특징을 발견했다고 한다.
1) 다중인증 기능이 활성화 되지 않은 채로 스노우플레이크 계정을 사용하고 있었다.
2) 계정 비밀번호를 꽤나 오랜 기간(심지어 수년 동안) 변경 없이 적용하고 있었다.
3) 신뢰할 만한 지역에서만 로그인이 가능하도록 하는 옵션을 활성화 하지 않았다.
또한 맨디언트는 공격자들이 과거 여러 가지 침해 사건을 통해 노출된 스노우플레이크 사용자 크리덴셜을 사용해 접근했음도 밝혀낼 수 있었다. 특히 각종 정보 탈취형 멀웨어를 사용한 캠페인을 통해 여러 크리덴셜들이 노출됐었는데, 이번 캠페인을 진행한 공격자들이 이 크리덴셜을 수집해 사용한 것으로 나타난 것이다. 이번 공격에 당한 피해자들의 계정들 중 무려 79.7%가 과거에 이미 노출된 크리덴셜을 통해 침해된 것으로 분석됐다. 그 크리덴셜 중에는 2020년에 이미 공격자들의 손에 넘어간 것들도 있었다. 4년 전에 침해된 크리덴셜을 사용자 편에서 바꾸지도 않고 그대로 썼다는 뜻이 된다.
맨디언트는 보고서를 통해 “탈취된 크리덴셜은 기업들을 위협하는 가장 큰 요소 중 하나”라고 강조했다. “2023년 기준 사이버 공격자들의 가장 주요한 최초 침투 전략 중 하나가 ‘이미 훔쳐낸(혹은 다크웹에서 구매한) 크리덴셜을 이용하기’였습니다. 4위를 기록했고, 전체 침투 사건의 10%가 바로 이러한 크리덴셜로부터 비롯됐습니다.”
크리덴셜 확보의 방법
그렇다면 공격자들은 정상적으로 작동하는 크리덴셜을 어떻게 훔쳐내는 것일까? 해커들이 다크웹에서 구매하는 크리덴셜 정보들은 출처가 어디일까? 최근 공격자들의 크리덴셜 금고를 두둑히 채우는 것은 크게 두 가지로, 정보 탈취형 멀웨어와 클라우드 설정 오류다. 정보 탈취형 멀웨어는 말 그대로 피해자의 시스템에 침투해 들어가 각종 정보를 훔쳐내는 기능을 가진 멀웨어다. 코로나 때문에 재택 근무가 크게 유행하면서 공격자들 사이에서 정보 탈취형 멀웨어의 인기가 크게 높아졌다.
스노우플레이크의 크리덴셜도 여러 정보 탈취형 멀웨어를 통해 해커들의 손에 들어갔는데, 맨디언트가 조사한 바, 이번 사건과 관련이 있는 정보 탈취형 멀웨어는 다음과 같다.
1) 비다(Vidar)
2) 라이즈프로(Risepro)
3) 레드라인(Redline)
4) 라쿤스틸러(Racoon Stealer)
5) 룸마(Lumma)
6) 메타스틸러(Metastealer)
공격자들은 피싱과 소셜엔지니어링 등 다양한 방법을 동원해 피해자의 시스템에 이러한 멀웨어들을 심고 계속해서 정보들을 빼내간다. 피해자들은 대부분 이러한 사실을 오랜 시간 알아채지 못하는데, 이 때문에 해브아이빈폰드(Have I Been Pwned, HIBP)와 같은 무료 서비스를 통해 자신의 이메일이나 크리덴셜 정보가 침해됐는지를 주기적으로 확인하는 습관이 필요하다.
두 번째 확보 방법인 ‘클라우드 설정 오류’는 최근 클라우드가 크게 유행하기 시작하면서 생겨난 현상이라고 할 수 있다. 사용자 편에서 설정을 잘못하여 민감한 데이터가 저장된 클라우드 DB를 전체 공개로 만들어 두고 운영하는 것이다. 해당 DB로 접근하는 URL 정보만 있으면 그 누구라도 인터넷을 통해 DB에 저장된 여러 가지 정보를 열람하거나 가져갈 수 있게 된다. 수많은 사용자들이 이런 실수를 저지르고, 이에 다량의 정보가 다크웹으로 흘러들어가고 있다. 통계에 따라서는 해커들이 훔쳐낸 정보보다, 이런 실수와 부주의로 해커들에게 ‘주어진’ 정보가 더 많은 것으로 나타나기도 한다. 크리덴셜 외에 지적재산과 영업 비밀, 개인정보, 민감 정보 들이 이런 식으로 새어나간다.
어떤 방법이든 해커들 손으로 흘러들어간 정보가 계속해서 거래되고 공격에 활용된다는 건, 피해자들이 비밀번호를 좀처럼 바꾸지 않는다는 뜻이 된다. 위에서처럼 침해 사실을 몰라서 그럴 수도 있지만, 알고도 바꾸지 않는 경우 역시 상당한 것으로 알려져 있다. 비밀번호를 주기적으로 바꾸는 건 기본적으로 권장되는 비밀번호 관리 지침이기도 하다.
하지만 비밀번호를 자주 바꾼다는 건 대단히 귀찮은 일이다. 처음에는 착실히 하다가도 비밀번호를 기억하기가 점점 힘들어져 결국 누구나 추측하기 쉬운 것(예 : 1234, password, admin 등)으로 설정하게 되는데, 그러면서 보안이 약화되는 역효과가 나기도 한다. 그래서 권장되는 것이 다중인증이다. 여러 겹의 장치로 데이터를 보호함으로써, 설사 비밀번호가 침해되더라도 데이터가 안전할 수 있도록 해 준다. 다만 최근에는 이 다중인증도 뚫리는 사례들이 늘어나고 있기는 하다. “그렇더라도 다중인증은 침해 확률을 크게 낮춰주는 게 사실”이라고 맨디언트는 강조한다.
맨디언트가 지목한 공격자들, UNC5537
맨디언트는 현재 이 캠페인의 배후에 있는 자들에 UNC5537이라는 이름을 붙여 올해 5월부터 추적하고 있다. “(정치적 목적이 아니라) 돈을 벌기 위한 목적으로 움직이는 단체로 추정되며, 조직적으로 스노우플레이크 고객 인스턴스를 침해”해 온 것으로 분석되고 있다. 주로 사용자 크리덴셜을 확보함으로써 클라우드 인스턴스에 접근하는 데 성공한 UNC5537은 주로 세 가지 기법으로 사용자의 클라우드 저장소를 공략했다고 맨디언트는 발표했다.
1) 스노우플레이크의 웹 기반 사용자 인터페이스인 스노우사이트(SnowSight)
2) 스노우플레이크의 기본 명령행 인터페이스(CLI)인 스노우SQL(SnowSQL)
3) 공격자들이 직접 만든 것으로 추정되는 유틸리티인 레입플레이크(rapeflake)
4) 무료 데이터베이스 관리 유틸리티인 디비버얼티밋(DBeaver Ultimate)
이중 3)번의 경우, 맨디언트는 프로스트바이트(Frostbite)라는 이름으로 샘플을 확보하는 중이라고 한다. 현재까지 프로스트바이트는 본격적인 공격 전에 수행하는 정찰 단계에서 주로 사용되는 멀웨어로 파악되고 있다.
위 네 가지 방법 중 어떤 것을 사용하던 공격자들은 결국 다음의 명령들을 반복적으로 활용함으로써 데이터를 찾아내고 훔치고 빼돌렸다.
1) Show tables : 모든 데이터를 열람하는 데 사용됐다.
2) Select * from : 테이블 중에서 관심 있는 것을 선택하여 다운로드 하는 데 사용됐다.
3) List/ls : 공격자들만의 데이터 스테이지를 생성하기 전에 기존 스테이지들을 전부 파악하는 데 사용됐다.
4) Create stage : 공격자들이 사용하기 위한 임시 데이터 스테이지를 생성하는 데 사용됐다.
5) Copy into : 자신들이 확보한 데이터를 방금 전에 만든 임시 데이터 스테이지로 복사하는 데 사용됐다.
6) Get : 임시 데이터 스테이지에 복사된 데이터를 외부로 빼돌리는 데 사용됐다.
UNC5537은 VPN을 사용해 자신들이 침해한 스노우플레이크 인스턴스로 접근했다. 특히 멀바드(Mullvad)와 피아(PIA)를 즐겨 썼다고 한다. 자신들이 빼돌린 데이터는 알렉스호스트SRL(ALEXHOST SRL)이라는 업체의 VPS 시스템에 저장했다. 알렉스호스트는 몰도바에 있는 호스팅 업체다. “UNC5537은 그 동안 여러 사건을 저지르며 전 세계 곳곳의 VPS 업체들의 호스팅 서비스를 활용해 왔습니다. 클라우드 스토리지 서비스인 메가(MEGA)를 이용하는 모습도 보였습니다.”
아직 UNC5537이 어느 지역을 근거지로 해서 활동하고 있는지는 명확히 알 수 없는 단계다. 맨디언트는 조금 더 증거를 확보해야 보다 정확하게 지목할 수 있을 것이라고 하면서도 “현재까지 조사된 바에 의하면 북미 지역의 해킹 단체이 가능성이 높아 보이며, 일부 멤버는 터키 출신이 수도 있다”고 이번 보고서를 통해 밝혔다. 확신하고 있지는 않다.
클라우드 보안, 누구의 책임인가?
맨디언트는 “스노우플레이크라는 플랫폼 자체에서 취약점이 발견되었다거나, 플랫폼을 해커들이 뚫어냈다거나 하는 증거를 확보하지 못했다”고 밝혔다. 이는 스노우플레이크 측에서도 사건 초반부터 주장해 온 바였다. 대부분의 공격은 스노우플레이크 사용자 계정을 직접 침해함으로써 성공했다는 게 이번 맨디언트 보고서의 결론이다. 사용자가 비밀번호를 자주 바꾸기만 했어도, 혹은 다중인증만 활성화 했어도, 거기에 더해 접속 가능 지역 설정까지 해두었더라면 당하지 않았을 가능성이 높다는 것이다.
하지만 손해를 본 건 스노우플레이크였다. 일주일 넘게 여러 매체의 헤드라인에 이름을 올렸을 뿐 아니라 실제 주가도 하락했다. 티켓마스터라는 인지도 높은 기업이 손가락질을 스노우플레이크 쪽으로 한 것이 모든 사람의 시선을 그리로 쏠리게 하는 데 한몫하기도 했다. 그런 발언이 나오자마자 스노우플레이크는 자신들의 서비스가 침해된 건 아니라고 부인했는데, 여론과 사용자들은 스노우플레이크가 뚫린 것으로 믿는 듯한 분위기가 형성됐다. 맨디언트의 조사 결과를 비추어보자면 스노우플레이크로서는 억울한 상황일 수밖에 없다. 과장을 조금 섞자면, 사건에 대한 책임 지분이 큰 티켓마스터가 스노우플레이크에 누명을 씌워 당한 것으로도 볼 수 있다.
클라우드에 저장된 데이터를 안전하게 지키는 데에는 양측(클라우드 업체와 사용자) 모두의 적극적인 움직임이 필요하다. 플랫폼을 단단하게 만들고, 취약점이 없도록 관리하며, 클라우드 내 테넌트들끼리 침범하지 못하도록 하는 책임은 클라우드 회사에 있다. 클라우드 업체 직원들이나 파트너사들이 고객 데이터를 함부로 열람하지 못하도록 하는 것 역시 클라우드 회사의 책임이다.
대신 클라우드 계정이나 DB를 안전하게 설정하고 사용하는 것은 사용자의 몫이다. 클라우드에 저장할 데이터를 암호화 하는 것 역시 사용자 기업이 맡아야 할 책임이다. 클라우드라는 커다란 인프라를 안전하게 지키는 건 클라우드, 그 클라우드 내 데이터를 안전하게 지키고 클라우드 서비스를 안전하게 사용하는 건 사용자가 맡는다는 뜻이다. 이를 ‘공유된 보안 책임 모델(shared security responsibility model)’이라고 하며, 많은 클라우드 업체들이 이를 표방하고 있다.
문제는 클라우드 업체들이 사용자를 유치하고 실제 계약을 하는 단계에서 이러한 점을 크게 부각시키지 않는다는 것이다. 오히려 이번 사건처럼 불미스러운 일이 터졌을 때에야 ‘사용자들과 책임을 공유한다’고 발표하는데, 변명처럼 들릴 수밖에 없는 타이밍이다. 또, 클라우드 업체들 편에서 사용자가 이중인증을 반드시 사용하도록 기술적으로 강제할 수도 있는데, 대다수가 그렇게 하지 않고 있다는 것도 생각해봐야 할 문제다. 한 번 사고를 겪은 기업들은 사용자들이 강제로 비밀번호를 재설정하도록 하기도 하는데, 스노우플레이크는 아직 그렇게 하지 않고 있기도 하다. 다중인증을 필수로 적용하도록 하는 방안도 아직 내부적으로 논의되는 중이라고 한다. 너무나 큰 사건에 연루되었는데도 ‘사용자 잘못’이라서 그런지 스노우플레이크의 대처가 미적지근하다.
사용자의 눈치를 보고 있기 때문인데, 이는 ‘클라우드에 맡기면 보안까지 자동으로 해결되어야 한다’는 인식이 사용자들 사이에 만연하다는 걸 알 수 있게 해 준다. 잠재 고객이 ‘보안 자동 해결’이라는 기대를 가지고 클라우드 업체를 대하니, 클라우드 업체 측에서 ‘그게 아니다’라고 말하기 힘든 것이다. 그러는 사이 ‘클라우드 보안은 공동의 책임’이라는 개념은 확립되지 않고, 오히려 보안의 짐이 전부 클라우드 업체들로 돌아가고 있다. 그것이 돌고 돌아 이번처럼 클라우드와 관련된 사건만 일어나면 일단 클라우드와 서드파티의 허술함 이야기부터 나오는 현상이 만들어진다.
맨디언트는 “클라우드 생태계에서 벌어진 대다수의 사건이 사실 사용자 계정 관리가 제대로 되어 있지 않아서 생겼다”며 “UNC5377은 스노우플레이크가 아니라 다른 클라우드 환경에서도 비슷한 수법의 공격을 실시하고도 남을 그룹”이라고 표현했다. “그리고 성공률도 높겠지요. 대부분 사용자들이 아직은 클라우드 속 데이터의 보호를 자기 일로 여기지 않고 있고, 비밀번호도 바꾸지 않고 오래 쓰며, 다중인증 옵션은 활성화시키지 않으니까요. 그 점이 바뀌지 않는 이상 클라우드는 사용자들 때문에 덜 안전한 환경으로 남을 겁니다.”
아직 사라지지 않은 여운
또 다른 클라우드 환경에서도 얼마든지 일어날 수 있는 일이라는 맨디언트의 경고는 진한 여운을 남긴다. 아직 다크웹에는 사용자들이 도난 당하거나 실수로 흘린 크리덴셜 정보가 넘쳐나고 있기 때문이다. 피해자 시스템으로 들어가게 해 주는 가장 확실한 방법인 크리덴셜을 공격자들이 애써 구하지 않아도 되는 세상이고, 그래서 각종 시스템들이 불법적인 접근에 항상 시달리는 것이라고도 할 수 있다. 사용자가 있고, 그 사용자가 암호를 입력해 로그인을 한다면, 그 누구라도 안심할 수 없다는 뜻이 된다.
다행히 이 불안감을 해소할 방법들이 존재한다.
1) 중요한 데이터와 관련되어 있는 계정의 비밀번호를 이참에 다 교체한다.
2) 비밀번호를 주기적으로 바꿔줄 방법을 마련한다(예 : 비밀번호 관리 프로그램).
3) 클라우드 서비스에 다중인증 기능이 있는지 확인하고 활성화 한다. 그렇지 않은 서비스라면 계약 종료 후 다른 서비스로 옮겨간다.
4) 특정 클라우드 계정은 중요한 지역에서만 접속이 되도록 제한을 걸어둔다.
※ 이 기사는 보안뉴스에서 발간하는 프리미엄 리포트를 통해 한 달 전에 공개된 기사입니다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 지난 주부터 주요 기업과 기관에서 굵직한 데이터 유출 사고가 계속해서 터지고 있다. 지금까지 공개된 것만 티켓마스터(Ticketmaster) 5억 6천만 건, 산탄데르은행(Santander Bank)에서 3천만 건, 어드밴스오토파츠(Advance Auto Parts)에서 3억 8천만 건, 렌딩트리(LendingTree)에서 1억 9천만 건이다. 그 외에도 호주의 사이버보안센터(Cyber Security Center)가 호주 내에도 관련된 피해 조직들이 발견되고 있다고 밝혔다. 여러 IT 및 보안 매체들에서는 이번 사건이 어쩌면 사상 최대의 정보 침해 사고가 될 수도 있다고 대서특필했다.
[이미지 = gettyimagesbank]
‘사상 최대의 정보 침해 사고’라는 문구가 자극적이긴 하지만, 한 가지 숨은 뜻을 가지고 있기도 하다. 그건 바로 위에 열거한 사건들을 하나로 묶는 뭔가가 있다는 것이다. 저 사건들이 전부 개별 건이었다면 ‘최대의 사고’라는 수식어가 붙을 수 없다. 그 하나로 묶는 무언가는 유명 클라우드 업체인 스노우플레이크(Snowflake)다. 여태까지 밝혀진 바 저 어마어마한 피해를 입은 기업들은 전부 스노우플레이크의 고객사들이었고, 침해된 데이터 역시 스노우플레이크로부터 나간 것이었다.
스노우플레이크 책임?
IT 매체 테크크런치와 와이어드는 스노우플레이크가 아직 여러 가지 면에서 시원한 답을 내놓지 않고 있다는 어조의 기사를 내놓기도 했다. 티켓마스터는 아예 처음부터 스노우플레이크라는 서드파티 클라우드 업체로부터 데이터 유출이 발생했다고 손가락질 했었다. 그러면서 이번 사건이 그 흔한 서드파티 침해 사고의 일종이라는 결론이 일부 보안 전문가들 사이에서 나오기도 했었다. 이 때문에 이번 주 월요일에는 스노우플레이크의 주식이 떨어지기도 했다.
하지만 보안 업체 맨디언트가 사건 발생 후 한 주 뒤에 보고서를 발표했다. 결론부터 말하자면 ‘클라우드 플랫폼 보안에 대한 책임을 사용자와 플랫폼 업자가 공유한다는 개념이 부실하여 생긴 사건’이라는 것이었다. 보다 적나라하게 풀이하자면, ‘어느 정도 사용자가 잘못해서 발생한 사건’이라고도 할 수 있다. 맨디언트가 그렇게까지 직접적으로 표현하지는 않았다. 사용자 책임이 100%인 것도 아니다.
맨디언트는 이번 ‘스노우플레이크 사태’로 인해 영향을 받은 사용자 조직이 165개라고 발표했다. 위의 네 개 업체를 포함한 숫자로, 피해자들을 조사했을 때 몇 가지 특징을 발견했다고 한다.
1) 다중인증 기능이 활성화 되지 않은 채로 스노우플레이크 계정을 사용하고 있었다.
2) 계정 비밀번호를 꽤나 오랜 기간(심지어 수년 동안) 변경 없이 적용하고 있었다.
3) 신뢰할 만한 지역에서만 로그인이 가능하도록 하는 옵션을 활성화 하지 않았다.
또한 맨디언트는 공격자들이 과거 여러 가지 침해 사건을 통해 노출된 스노우플레이크 사용자 크리덴셜을 사용해 접근했음도 밝혀낼 수 있었다. 특히 각종 정보 탈취형 멀웨어를 사용한 캠페인을 통해 여러 크리덴셜들이 노출됐었는데, 이번 캠페인을 진행한 공격자들이 이 크리덴셜을 수집해 사용한 것으로 나타난 것이다. 이번 공격에 당한 피해자들의 계정들 중 무려 79.7%가 과거에 이미 노출된 크리덴셜을 통해 침해된 것으로 분석됐다. 그 크리덴셜 중에는 2020년에 이미 공격자들의 손에 넘어간 것들도 있었다. 4년 전에 침해된 크리덴셜을 사용자 편에서 바꾸지도 않고 그대로 썼다는 뜻이 된다.
맨디언트는 보고서를 통해 “탈취된 크리덴셜은 기업들을 위협하는 가장 큰 요소 중 하나”라고 강조했다. “2023년 기준 사이버 공격자들의 가장 주요한 최초 침투 전략 중 하나가 ‘이미 훔쳐낸(혹은 다크웹에서 구매한) 크리덴셜을 이용하기’였습니다. 4위를 기록했고, 전체 침투 사건의 10%가 바로 이러한 크리덴셜로부터 비롯됐습니다.”
크리덴셜 확보의 방법
그렇다면 공격자들은 정상적으로 작동하는 크리덴셜을 어떻게 훔쳐내는 것일까? 해커들이 다크웹에서 구매하는 크리덴셜 정보들은 출처가 어디일까? 최근 공격자들의 크리덴셜 금고를 두둑히 채우는 것은 크게 두 가지로, 정보 탈취형 멀웨어와 클라우드 설정 오류다. 정보 탈취형 멀웨어는 말 그대로 피해자의 시스템에 침투해 들어가 각종 정보를 훔쳐내는 기능을 가진 멀웨어다. 코로나 때문에 재택 근무가 크게 유행하면서 공격자들 사이에서 정보 탈취형 멀웨어의 인기가 크게 높아졌다.
스노우플레이크의 크리덴셜도 여러 정보 탈취형 멀웨어를 통해 해커들의 손에 들어갔는데, 맨디언트가 조사한 바, 이번 사건과 관련이 있는 정보 탈취형 멀웨어는 다음과 같다.
1) 비다(Vidar)
2) 라이즈프로(Risepro)
3) 레드라인(Redline)
4) 라쿤스틸러(Racoon Stealer)
5) 룸마(Lumma)
6) 메타스틸러(Metastealer)
공격자들은 피싱과 소셜엔지니어링 등 다양한 방법을 동원해 피해자의 시스템에 이러한 멀웨어들을 심고 계속해서 정보들을 빼내간다. 피해자들은 대부분 이러한 사실을 오랜 시간 알아채지 못하는데, 이 때문에 해브아이빈폰드(Have I Been Pwned, HIBP)와 같은 무료 서비스를 통해 자신의 이메일이나 크리덴셜 정보가 침해됐는지를 주기적으로 확인하는 습관이 필요하다.
두 번째 확보 방법인 ‘클라우드 설정 오류’는 최근 클라우드가 크게 유행하기 시작하면서 생겨난 현상이라고 할 수 있다. 사용자 편에서 설정을 잘못하여 민감한 데이터가 저장된 클라우드 DB를 전체 공개로 만들어 두고 운영하는 것이다. 해당 DB로 접근하는 URL 정보만 있으면 그 누구라도 인터넷을 통해 DB에 저장된 여러 가지 정보를 열람하거나 가져갈 수 있게 된다. 수많은 사용자들이 이런 실수를 저지르고, 이에 다량의 정보가 다크웹으로 흘러들어가고 있다. 통계에 따라서는 해커들이 훔쳐낸 정보보다, 이런 실수와 부주의로 해커들에게 ‘주어진’ 정보가 더 많은 것으로 나타나기도 한다. 크리덴셜 외에 지적재산과 영업 비밀, 개인정보, 민감 정보 들이 이런 식으로 새어나간다.
어떤 방법이든 해커들 손으로 흘러들어간 정보가 계속해서 거래되고 공격에 활용된다는 건, 피해자들이 비밀번호를 좀처럼 바꾸지 않는다는 뜻이 된다. 위에서처럼 침해 사실을 몰라서 그럴 수도 있지만, 알고도 바꾸지 않는 경우 역시 상당한 것으로 알려져 있다. 비밀번호를 주기적으로 바꾸는 건 기본적으로 권장되는 비밀번호 관리 지침이기도 하다.
하지만 비밀번호를 자주 바꾼다는 건 대단히 귀찮은 일이다. 처음에는 착실히 하다가도 비밀번호를 기억하기가 점점 힘들어져 결국 누구나 추측하기 쉬운 것(예 : 1234, password, admin 등)으로 설정하게 되는데, 그러면서 보안이 약화되는 역효과가 나기도 한다. 그래서 권장되는 것이 다중인증이다. 여러 겹의 장치로 데이터를 보호함으로써, 설사 비밀번호가 침해되더라도 데이터가 안전할 수 있도록 해 준다. 다만 최근에는 이 다중인증도 뚫리는 사례들이 늘어나고 있기는 하다. “그렇더라도 다중인증은 침해 확률을 크게 낮춰주는 게 사실”이라고 맨디언트는 강조한다.
맨디언트가 지목한 공격자들, UNC5537
맨디언트는 현재 이 캠페인의 배후에 있는 자들에 UNC5537이라는 이름을 붙여 올해 5월부터 추적하고 있다. “(정치적 목적이 아니라) 돈을 벌기 위한 목적으로 움직이는 단체로 추정되며, 조직적으로 스노우플레이크 고객 인스턴스를 침해”해 온 것으로 분석되고 있다. 주로 사용자 크리덴셜을 확보함으로써 클라우드 인스턴스에 접근하는 데 성공한 UNC5537은 주로 세 가지 기법으로 사용자의 클라우드 저장소를 공략했다고 맨디언트는 발표했다.
1) 스노우플레이크의 웹 기반 사용자 인터페이스인 스노우사이트(SnowSight)
2) 스노우플레이크의 기본 명령행 인터페이스(CLI)인 스노우SQL(SnowSQL)
3) 공격자들이 직접 만든 것으로 추정되는 유틸리티인 레입플레이크(rapeflake)
4) 무료 데이터베이스 관리 유틸리티인 디비버얼티밋(DBeaver Ultimate)
이중 3)번의 경우, 맨디언트는 프로스트바이트(Frostbite)라는 이름으로 샘플을 확보하는 중이라고 한다. 현재까지 프로스트바이트는 본격적인 공격 전에 수행하는 정찰 단계에서 주로 사용되는 멀웨어로 파악되고 있다.
위 네 가지 방법 중 어떤 것을 사용하던 공격자들은 결국 다음의 명령들을 반복적으로 활용함으로써 데이터를 찾아내고 훔치고 빼돌렸다.
1) Show tables : 모든 데이터를 열람하는 데 사용됐다.
2) Select * from : 테이블 중에서 관심 있는 것을 선택하여 다운로드 하는 데 사용됐다.
3) List/ls : 공격자들만의 데이터 스테이지를 생성하기 전에 기존 스테이지들을 전부 파악하는 데 사용됐다.
4) Create stage : 공격자들이 사용하기 위한 임시 데이터 스테이지를 생성하는 데 사용됐다.
5) Copy into : 자신들이 확보한 데이터를 방금 전에 만든 임시 데이터 스테이지로 복사하는 데 사용됐다.
6) Get : 임시 데이터 스테이지에 복사된 데이터를 외부로 빼돌리는 데 사용됐다.
UNC5537은 VPN을 사용해 자신들이 침해한 스노우플레이크 인스턴스로 접근했다. 특히 멀바드(Mullvad)와 피아(PIA)를 즐겨 썼다고 한다. 자신들이 빼돌린 데이터는 알렉스호스트SRL(ALEXHOST SRL)이라는 업체의 VPS 시스템에 저장했다. 알렉스호스트는 몰도바에 있는 호스팅 업체다. “UNC5537은 그 동안 여러 사건을 저지르며 전 세계 곳곳의 VPS 업체들의 호스팅 서비스를 활용해 왔습니다. 클라우드 스토리지 서비스인 메가(MEGA)를 이용하는 모습도 보였습니다.”
아직 UNC5537이 어느 지역을 근거지로 해서 활동하고 있는지는 명확히 알 수 없는 단계다. 맨디언트는 조금 더 증거를 확보해야 보다 정확하게 지목할 수 있을 것이라고 하면서도 “현재까지 조사된 바에 의하면 북미 지역의 해킹 단체이 가능성이 높아 보이며, 일부 멤버는 터키 출신이 수도 있다”고 이번 보고서를 통해 밝혔다. 확신하고 있지는 않다.
클라우드 보안, 누구의 책임인가?
맨디언트는 “스노우플레이크라는 플랫폼 자체에서 취약점이 발견되었다거나, 플랫폼을 해커들이 뚫어냈다거나 하는 증거를 확보하지 못했다”고 밝혔다. 이는 스노우플레이크 측에서도 사건 초반부터 주장해 온 바였다. 대부분의 공격은 스노우플레이크 사용자 계정을 직접 침해함으로써 성공했다는 게 이번 맨디언트 보고서의 결론이다. 사용자가 비밀번호를 자주 바꾸기만 했어도, 혹은 다중인증만 활성화 했어도, 거기에 더해 접속 가능 지역 설정까지 해두었더라면 당하지 않았을 가능성이 높다는 것이다.
하지만 손해를 본 건 스노우플레이크였다. 일주일 넘게 여러 매체의 헤드라인에 이름을 올렸을 뿐 아니라 실제 주가도 하락했다. 티켓마스터라는 인지도 높은 기업이 손가락질을 스노우플레이크 쪽으로 한 것이 모든 사람의 시선을 그리로 쏠리게 하는 데 한몫하기도 했다. 그런 발언이 나오자마자 스노우플레이크는 자신들의 서비스가 침해된 건 아니라고 부인했는데, 여론과 사용자들은 스노우플레이크가 뚫린 것으로 믿는 듯한 분위기가 형성됐다. 맨디언트의 조사 결과를 비추어보자면 스노우플레이크로서는 억울한 상황일 수밖에 없다. 과장을 조금 섞자면, 사건에 대한 책임 지분이 큰 티켓마스터가 스노우플레이크에 누명을 씌워 당한 것으로도 볼 수 있다.
클라우드에 저장된 데이터를 안전하게 지키는 데에는 양측(클라우드 업체와 사용자) 모두의 적극적인 움직임이 필요하다. 플랫폼을 단단하게 만들고, 취약점이 없도록 관리하며, 클라우드 내 테넌트들끼리 침범하지 못하도록 하는 책임은 클라우드 회사에 있다. 클라우드 업체 직원들이나 파트너사들이 고객 데이터를 함부로 열람하지 못하도록 하는 것 역시 클라우드 회사의 책임이다.
대신 클라우드 계정이나 DB를 안전하게 설정하고 사용하는 것은 사용자의 몫이다. 클라우드에 저장할 데이터를 암호화 하는 것 역시 사용자 기업이 맡아야 할 책임이다. 클라우드라는 커다란 인프라를 안전하게 지키는 건 클라우드, 그 클라우드 내 데이터를 안전하게 지키고 클라우드 서비스를 안전하게 사용하는 건 사용자가 맡는다는 뜻이다. 이를 ‘공유된 보안 책임 모델(shared security responsibility model)’이라고 하며, 많은 클라우드 업체들이 이를 표방하고 있다.
문제는 클라우드 업체들이 사용자를 유치하고 실제 계약을 하는 단계에서 이러한 점을 크게 부각시키지 않는다는 것이다. 오히려 이번 사건처럼 불미스러운 일이 터졌을 때에야 ‘사용자들과 책임을 공유한다’고 발표하는데, 변명처럼 들릴 수밖에 없는 타이밍이다. 또, 클라우드 업체들 편에서 사용자가 이중인증을 반드시 사용하도록 기술적으로 강제할 수도 있는데, 대다수가 그렇게 하지 않고 있다는 것도 생각해봐야 할 문제다. 한 번 사고를 겪은 기업들은 사용자들이 강제로 비밀번호를 재설정하도록 하기도 하는데, 스노우플레이크는 아직 그렇게 하지 않고 있기도 하다. 다중인증을 필수로 적용하도록 하는 방안도 아직 내부적으로 논의되는 중이라고 한다. 너무나 큰 사건에 연루되었는데도 ‘사용자 잘못’이라서 그런지 스노우플레이크의 대처가 미적지근하다.
사용자의 눈치를 보고 있기 때문인데, 이는 ‘클라우드에 맡기면 보안까지 자동으로 해결되어야 한다’는 인식이 사용자들 사이에 만연하다는 걸 알 수 있게 해 준다. 잠재 고객이 ‘보안 자동 해결’이라는 기대를 가지고 클라우드 업체를 대하니, 클라우드 업체 측에서 ‘그게 아니다’라고 말하기 힘든 것이다. 그러는 사이 ‘클라우드 보안은 공동의 책임’이라는 개념은 확립되지 않고, 오히려 보안의 짐이 전부 클라우드 업체들로 돌아가고 있다. 그것이 돌고 돌아 이번처럼 클라우드와 관련된 사건만 일어나면 일단 클라우드와 서드파티의 허술함 이야기부터 나오는 현상이 만들어진다.
맨디언트는 “클라우드 생태계에서 벌어진 대다수의 사건이 사실 사용자 계정 관리가 제대로 되어 있지 않아서 생겼다”며 “UNC5377은 스노우플레이크가 아니라 다른 클라우드 환경에서도 비슷한 수법의 공격을 실시하고도 남을 그룹”이라고 표현했다. “그리고 성공률도 높겠지요. 대부분 사용자들이 아직은 클라우드 속 데이터의 보호를 자기 일로 여기지 않고 있고, 비밀번호도 바꾸지 않고 오래 쓰며, 다중인증 옵션은 활성화시키지 않으니까요. 그 점이 바뀌지 않는 이상 클라우드는 사용자들 때문에 덜 안전한 환경으로 남을 겁니다.”
아직 사라지지 않은 여운
또 다른 클라우드 환경에서도 얼마든지 일어날 수 있는 일이라는 맨디언트의 경고는 진한 여운을 남긴다. 아직 다크웹에는 사용자들이 도난 당하거나 실수로 흘린 크리덴셜 정보가 넘쳐나고 있기 때문이다. 피해자 시스템으로 들어가게 해 주는 가장 확실한 방법인 크리덴셜을 공격자들이 애써 구하지 않아도 되는 세상이고, 그래서 각종 시스템들이 불법적인 접근에 항상 시달리는 것이라고도 할 수 있다. 사용자가 있고, 그 사용자가 암호를 입력해 로그인을 한다면, 그 누구라도 안심할 수 없다는 뜻이 된다.
다행히 이 불안감을 해소할 방법들이 존재한다.
1) 중요한 데이터와 관련되어 있는 계정의 비밀번호를 이참에 다 교체한다.
2) 비밀번호를 주기적으로 바꿔줄 방법을 마련한다(예 : 비밀번호 관리 프로그램).
3) 클라우드 서비스에 다중인증 기능이 있는지 확인하고 활성화 한다. 그렇지 않은 서비스라면 계약 종료 후 다른 서비스로 옮겨간다.
4) 특정 클라우드 계정은 중요한 지역에서만 접속이 되도록 제한을 걸어둔다.
※ 이 기사는 보안뉴스에서 발간하는 프리미엄 리포트를 통해 한 달 전에 공개된 기사입니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
