아이덴티티 관리 플랫폼으로서, 보안 분야에 발을 걸치고 있다고 해도 과언이 아닌 회사 옥타에 있어 2023년은 매우 힘든 해로 기록될 전망이다. 온갖 해킹 사고에 휘말려들었기 때문이다. 하지만 그런 연쇄적 사고 이후 시작될 2024년은 더 힘들지도 모른다.
[보안뉴스=셰인 스나이더 IT 칼럼니스트] 지난 주 아이덴티티 및 접근 관리 플랫폼인 옥타(Okta)는 10월에 발생했던 정보 침해 사건의 피해자가 1% 미만의 고객들이 아니라 100%, 즉 고객 전부라고 발표했다. 이 때문에 옥타를 사용해 아이덴티티를 보호하던 모든 기업들이 충격에 빠졌다. 그리고 그 기업들의 보안 담당자들은 피해의 규모를 확인하고 대처법을 마련하기 위해 동분서주 뛰기 시작했다.
[이미지 = gettyimagesbank]
옥타는 아이덴티티 관리 플랫폼으로서는 업계 1, 2위를 다투던 강자였다. 페덱스, 줌, 베인앤컴파니, HPE 등 어디서 이름 한 번쯤 들어봤음직한 거대 유명 기업들 중 상당수가 옥타의 고객이었다. 9월 대규모 해킹 사건을 겪었던 카지노 및 숙박 분야 거대 기업인 시저스와 MGM리조트 역시 옥타의 고객이었다. 시저스와 MGM의 경우 소셜엔지니어링에 당해 사업에 심각한 차질이 빚어졌다고 옥타가 발표하기도 했었다.
그러더니 옥타는 10월 하반기부터 고객 지원 시스템에서 침해 사고의 흔적이 발견됐다고 발표하며 고객들에게 알리기 시작했다. 당시 옥타는 1% 미만의 고객들에만 영향이 있다고 했었다. 하지만 지난 주 자사 블로그를 통해 당시 조사는 미흡했고, 한 달 넘게 사건을 추가 조사를 이어갔더니 고객 전체가 영향을 입은 것을 확인할 수 있었다고 발표했다. 옥타의 ‘워크포스아이덴티티클라우드(Workforce Identity Cloud, WIC)’와 ‘커스터머아이덴티티솔루션즈(Customer Identity Solutions, CIS)’의 사용자 전부가 피해자였다고 한다.
아이덴티티와 크리덴셜 정보가 새나간 것이므로 옥타의 모든 고객들이 추가 위협에 노출되어 있는 거라고도 볼 수 있다. 공격자들은 그런 정보가 담겨져 있는 민감한 파일들에 9월 28일부터 10월 17일까지 접근했던 것으로 분석됐다. 이런 대대적 사건의 발단이 된 건 옥타 직원 한 명이었다. 업무용 랩톱 컴퓨터의 크롬 브라우저를 통해 자신의 개인 구글 계정에 접속한 것이 일의 시작이었다고 옥타는 설명했다.
시장 조사 업체 포레스터(Forrester)의 부회장 메릿 맥심(Merritt Maxim)은 “원래 접근 제어와 아이덴티티 관리를 주력으로 하는 기업들은 인기 높은 공격 표적일 수밖에 없다”고 말한다. “각종 아이덴티티 및 접속 정보가 담겨져 있는 시스템을 보유하고 있으니 그럴 수밖에요. 해커들이 가장 잘 활용하는 정보가 크리덴셜 정보이죠. 그래서 옥타가 대규모 해킹 공격의 피해자가 됐다는 사실 자체는 그리 놀랍지 않습니다. 오히려 이것을 끝으로 옥타의 이름이 보안 관련 소식에서 오랜 기간 언급되지 않는다면 그게 오히려 더 놀랄 일이겠죠.”
어떻게 방어해야 할까
옥타는 자사 블로그를 통해 “모든 고객들이 이제는 개별 사이버 공격의 표적이 될 가능성을 가지고 있게 됐다”고 경고했다. “아직까지 침해된 정보를 활용한 추가 공격이 벌어지고 있다는 증거는 없습니다. 피해 사실도 접수된 바가 없습니다. 그럼에도 누군가 공격을 시작할 가능성, 그리고 그 공격의 대상이 옥타의 고객이 될 가능성은 여전히 남아 있습니다. 공격자가 다운로드 받아간 것은 기본적으로 이름과 이메일 주소입니다. 피싱 이메일을 시작하기에 필요한 정보라고 할 수 있죠.” 옥타의 CSO인 데이비드 브래드버리(David Bradbury)의 설명이다.
그러면서 옥타는 고객들에게 안전을 즉시 강화할 수 있을 만한 여러 가지 방법들을 제안했다.
1) 관리자 계정의 경우 다중인증 기능을 활용할 수 있도록 옵션 변경을 실시한다.
2) 관리자 세션 바인딩 실시 : 특정 경우 관리자도 인증 단계를 거치도록 한다.
3) 관리자 세션 타임아웃 : 기본적으로 12시간 후 관리자 세션이 종료되도록 하고, 대기 시간이 이어질 경우 15분 동안만 세션이 유지되도록 한다.
4) 피싱 인식 제고 교육을 실시한다.
한편 옥타의 고객사들 편에서도 별도의 조사를 이어가는 중인 것으로 보인다. HPE가 이런 경우에 속한다. “먼저 이번 사건으로 회사가 받을 수 있는 피해나 충격을 가늠하고 있는데, 현재까지 HPE의 시스템이 이 사건으로 인해 직접 침해된 사례는 나오지 않고 있습니다. 하지만 계속해서 사건을 주시하고 상황이 어떻게 변하나 지켜볼 예정입니다. 또한 필요한 내용이 발굴되면 고객들에게도 알리고 미리 경고하려 합니다.” HPE의 설명이다.
CISO들은 어떻게 대응해야 하는가?
맥심은 이 사건의 파급력이 거의 모든 기업에 미칠 수 있다며 당분간 경계 태세를 유지해야 할 것이라고 보고 있다. “일단 옥타의 고객이 너무나 많고, 그 중에 여러 기업들과 조직들에 직간접적인 영향을 줄 수 있는 대기업들도 상당수 있었다는 게 큽니다. 그렇기 때문에 옥타 고객이 아니더라도 우리가 상상하기 힘든 방식으로 영향을 받을 수 있습니다. 알고 봤더니 우리 회사가 옥타의 고객의 고객이더라, 라는 경우도 있을 수 있겠지요. 이런 경우가 의심된다면 벤더사들에 연락해 옥타 사건의 영향력을 최대한 알아보고, 관련 패치나 업데이트 등이 나올 경우 빠르게 배포해달라고 압력을 넣을 수 있습니다.”
아이덴티티관리기관(Identity Management Institute)의 창립자인 헨리 바그다사리안(Henry Bagdasarian)은 다른 측면에서의 ‘교훈’도 잊지 말아야 한다고 경고한다. “이번 사건은 옥타 직원 한 명이 업무용 컴퓨터를 가지고 개인 계정에 접속한 것으로부터 출발했습니다. 이는 실제로 대단히 위험한 일입니다. 반대로 개인 장비로 회사 계정에 접속하는 것도 위험하죠. 각 기업의 CISO들은 이런 부분의 현황을 이참에 점검해도 좋을 겁니다. 아니면 이런 부분을 다루는 보안 교육을 새로 실시해도 되겠고요.”
맥심도 이 부분을 똑같이 지적한다. “업무용 컴퓨터를 활용하는 데 있어 지켜야 할 보안 규정을 강화할 수도 있겠고, 특정 행위가 되지 않도록 기술적으로 조치를 취할 수도 있겠습니다. 아니면 보다 보안이 강화된 기업용 브라우저를 새롭게 구매해 기업 전체에 적용해도 되겠지요. 아직 잘 모르는 기업들이 의외로 있는 편인데, 보안이 강화된 기업용 브라우저 시장이 존재하고, 꽤나 강력한 브라우저들이 제공됩니다. 우리가 흔히 무료로 다운로드 받을 수 있는 브라우저들과 차별된 기능을 가지고 있지요.”
무너진 신뢰의 회복
다른 기업들의 보안 강화 문제야 그렇다 치고, 옥타의 경우도 지금 생각해야 할 것이 많다. 보안 플랫폼을 제공하는 업체로서 위신이 상당히 깎였기 때문이다. 위에서도 언급했지만 MGM과 시저스 사건에도 연루가 됐었고, 그 외에도 올해 여러 차례 보안 사고에 얽히며 뉴스에 이름이 언급됐었다. 그리고 마지막까지 고객 전체가 영향을 받는 사건의 피해자가 됐다. “그럼에도 옥타는 자신들이 파악한 사실을 재빨리, 투명하게 알렸습니다. 그 점은 고객들과의 신뢰 구축이라는 면에서 잘한 것입니다.” 맥심의 설명이다.
그렇다고 해서 고객들이 지금 당장 옥타를 전적으로 신뢰할 수 있는 건 아니다. “있는 그대로 사건을 알리긴 한다고 해서 ‘옥타에 아이덴티티를 맡기면 안전해’라는 신뢰가 생기는 건 아닙니다. 옥타는 안전한 플랫폼이라는 인식이 시장에 다시 자리 잡게 하려면 꽤나 긴 시간 많은 것을 투자해야 할 것이고, 그 과정이 쉽지 않을 겁니다. 하지만 최근 보안 사고가 너무 흔해져 소비자들이 그렇게까지 분노하지 않는다는 게 옥타로서는 긍정적일 수 있습니다. 더 이상 사고에 휘말리지 않는 게 가장 중요하고, 계속해서 이미지 개선 캠페인을 벌여야 할 겁니다.”
글 : 셰인 스나이더(Shane Snider), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=셰인 스나이더 IT 칼럼니스트] 지난 주 아이덴티티 및 접근 관리 플랫폼인 옥타(Okta)는 10월에 발생했던 정보 침해 사건의 피해자가 1% 미만의 고객들이 아니라 100%, 즉 고객 전부라고 발표했다. 이 때문에 옥타를 사용해 아이덴티티를 보호하던 모든 기업들이 충격에 빠졌다. 그리고 그 기업들의 보안 담당자들은 피해의 규모를 확인하고 대처법을 마련하기 위해 동분서주 뛰기 시작했다.
[이미지 = gettyimagesbank]
옥타는 아이덴티티 관리 플랫폼으로서는 업계 1, 2위를 다투던 강자였다. 페덱스, 줌, 베인앤컴파니, HPE 등 어디서 이름 한 번쯤 들어봤음직한 거대 유명 기업들 중 상당수가 옥타의 고객이었다. 9월 대규모 해킹 사건을 겪었던 카지노 및 숙박 분야 거대 기업인 시저스와 MGM리조트 역시 옥타의 고객이었다. 시저스와 MGM의 경우 소셜엔지니어링에 당해 사업에 심각한 차질이 빚어졌다고 옥타가 발표하기도 했었다.
그러더니 옥타는 10월 하반기부터 고객 지원 시스템에서 침해 사고의 흔적이 발견됐다고 발표하며 고객들에게 알리기 시작했다. 당시 옥타는 1% 미만의 고객들에만 영향이 있다고 했었다. 하지만 지난 주 자사 블로그를 통해 당시 조사는 미흡했고, 한 달 넘게 사건을 추가 조사를 이어갔더니 고객 전체가 영향을 입은 것을 확인할 수 있었다고 발표했다. 옥타의 ‘워크포스아이덴티티클라우드(Workforce Identity Cloud, WIC)’와 ‘커스터머아이덴티티솔루션즈(Customer Identity Solutions, CIS)’의 사용자 전부가 피해자였다고 한다.
아이덴티티와 크리덴셜 정보가 새나간 것이므로 옥타의 모든 고객들이 추가 위협에 노출되어 있는 거라고도 볼 수 있다. 공격자들은 그런 정보가 담겨져 있는 민감한 파일들에 9월 28일부터 10월 17일까지 접근했던 것으로 분석됐다. 이런 대대적 사건의 발단이 된 건 옥타 직원 한 명이었다. 업무용 랩톱 컴퓨터의 크롬 브라우저를 통해 자신의 개인 구글 계정에 접속한 것이 일의 시작이었다고 옥타는 설명했다.
시장 조사 업체 포레스터(Forrester)의 부회장 메릿 맥심(Merritt Maxim)은 “원래 접근 제어와 아이덴티티 관리를 주력으로 하는 기업들은 인기 높은 공격 표적일 수밖에 없다”고 말한다. “각종 아이덴티티 및 접속 정보가 담겨져 있는 시스템을 보유하고 있으니 그럴 수밖에요. 해커들이 가장 잘 활용하는 정보가 크리덴셜 정보이죠. 그래서 옥타가 대규모 해킹 공격의 피해자가 됐다는 사실 자체는 그리 놀랍지 않습니다. 오히려 이것을 끝으로 옥타의 이름이 보안 관련 소식에서 오랜 기간 언급되지 않는다면 그게 오히려 더 놀랄 일이겠죠.”
어떻게 방어해야 할까
옥타는 자사 블로그를 통해 “모든 고객들이 이제는 개별 사이버 공격의 표적이 될 가능성을 가지고 있게 됐다”고 경고했다. “아직까지 침해된 정보를 활용한 추가 공격이 벌어지고 있다는 증거는 없습니다. 피해 사실도 접수된 바가 없습니다. 그럼에도 누군가 공격을 시작할 가능성, 그리고 그 공격의 대상이 옥타의 고객이 될 가능성은 여전히 남아 있습니다. 공격자가 다운로드 받아간 것은 기본적으로 이름과 이메일 주소입니다. 피싱 이메일을 시작하기에 필요한 정보라고 할 수 있죠.” 옥타의 CSO인 데이비드 브래드버리(David Bradbury)의 설명이다.
그러면서 옥타는 고객들에게 안전을 즉시 강화할 수 있을 만한 여러 가지 방법들을 제안했다.
1) 관리자 계정의 경우 다중인증 기능을 활용할 수 있도록 옵션 변경을 실시한다.
2) 관리자 세션 바인딩 실시 : 특정 경우 관리자도 인증 단계를 거치도록 한다.
3) 관리자 세션 타임아웃 : 기본적으로 12시간 후 관리자 세션이 종료되도록 하고, 대기 시간이 이어질 경우 15분 동안만 세션이 유지되도록 한다.
4) 피싱 인식 제고 교육을 실시한다.
한편 옥타의 고객사들 편에서도 별도의 조사를 이어가는 중인 것으로 보인다. HPE가 이런 경우에 속한다. “먼저 이번 사건으로 회사가 받을 수 있는 피해나 충격을 가늠하고 있는데, 현재까지 HPE의 시스템이 이 사건으로 인해 직접 침해된 사례는 나오지 않고 있습니다. 하지만 계속해서 사건을 주시하고 상황이 어떻게 변하나 지켜볼 예정입니다. 또한 필요한 내용이 발굴되면 고객들에게도 알리고 미리 경고하려 합니다.” HPE의 설명이다.
CISO들은 어떻게 대응해야 하는가?
맥심은 이 사건의 파급력이 거의 모든 기업에 미칠 수 있다며 당분간 경계 태세를 유지해야 할 것이라고 보고 있다. “일단 옥타의 고객이 너무나 많고, 그 중에 여러 기업들과 조직들에 직간접적인 영향을 줄 수 있는 대기업들도 상당수 있었다는 게 큽니다. 그렇기 때문에 옥타 고객이 아니더라도 우리가 상상하기 힘든 방식으로 영향을 받을 수 있습니다. 알고 봤더니 우리 회사가 옥타의 고객의 고객이더라, 라는 경우도 있을 수 있겠지요. 이런 경우가 의심된다면 벤더사들에 연락해 옥타 사건의 영향력을 최대한 알아보고, 관련 패치나 업데이트 등이 나올 경우 빠르게 배포해달라고 압력을 넣을 수 있습니다.”
아이덴티티관리기관(Identity Management Institute)의 창립자인 헨리 바그다사리안(Henry Bagdasarian)은 다른 측면에서의 ‘교훈’도 잊지 말아야 한다고 경고한다. “이번 사건은 옥타 직원 한 명이 업무용 컴퓨터를 가지고 개인 계정에 접속한 것으로부터 출발했습니다. 이는 실제로 대단히 위험한 일입니다. 반대로 개인 장비로 회사 계정에 접속하는 것도 위험하죠. 각 기업의 CISO들은 이런 부분의 현황을 이참에 점검해도 좋을 겁니다. 아니면 이런 부분을 다루는 보안 교육을 새로 실시해도 되겠고요.”
맥심도 이 부분을 똑같이 지적한다. “업무용 컴퓨터를 활용하는 데 있어 지켜야 할 보안 규정을 강화할 수도 있겠고, 특정 행위가 되지 않도록 기술적으로 조치를 취할 수도 있겠습니다. 아니면 보다 보안이 강화된 기업용 브라우저를 새롭게 구매해 기업 전체에 적용해도 되겠지요. 아직 잘 모르는 기업들이 의외로 있는 편인데, 보안이 강화된 기업용 브라우저 시장이 존재하고, 꽤나 강력한 브라우저들이 제공됩니다. 우리가 흔히 무료로 다운로드 받을 수 있는 브라우저들과 차별된 기능을 가지고 있지요.”
무너진 신뢰의 회복
다른 기업들의 보안 강화 문제야 그렇다 치고, 옥타의 경우도 지금 생각해야 할 것이 많다. 보안 플랫폼을 제공하는 업체로서 위신이 상당히 깎였기 때문이다. 위에서도 언급했지만 MGM과 시저스 사건에도 연루가 됐었고, 그 외에도 올해 여러 차례 보안 사고에 얽히며 뉴스에 이름이 언급됐었다. 그리고 마지막까지 고객 전체가 영향을 받는 사건의 피해자가 됐다. “그럼에도 옥타는 자신들이 파악한 사실을 재빨리, 투명하게 알렸습니다. 그 점은 고객들과의 신뢰 구축이라는 면에서 잘한 것입니다.” 맥심의 설명이다.
그렇다고 해서 고객들이 지금 당장 옥타를 전적으로 신뢰할 수 있는 건 아니다. “있는 그대로 사건을 알리긴 한다고 해서 ‘옥타에 아이덴티티를 맡기면 안전해’라는 신뢰가 생기는 건 아닙니다. 옥타는 안전한 플랫폼이라는 인식이 시장에 다시 자리 잡게 하려면 꽤나 긴 시간 많은 것을 투자해야 할 것이고, 그 과정이 쉽지 않을 겁니다. 하지만 최근 보안 사고가 너무 흔해져 소비자들이 그렇게까지 분노하지 않는다는 게 옥타로서는 긍정적일 수 있습니다. 더 이상 사고에 휘말리지 않는 게 가장 중요하고, 계속해서 이미지 개선 캠페인을 벌여야 할 겁니다.”
글 : 셰인 스나이더(Shane Snider), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 TH.png)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
