랩서스가 옥타를 침해한 것 때문에 모든 업계의 눈이 그리로 쏠려 있다. 옥타가 인증 관련 서비스를 제공하는 기업이기에, 많은 회사들의 대문이 위험해질 수 있기 때문이다. 결국 드러난 사실은 하나, 현대의 IT 환경이 지나치게 복잡하다는 것이다.

[보안뉴스 문가용 기자] 2022년 1월 말 경, 세계적인 인증 서비스 업체인 옥타(Okta)에서 보안 사고가 발생했다. 하지만 옥타는 두 달 정도가 지난 바로 어제에 와서야 해당 사건에 대해 발표하며 “서드파티 고객 지원 엔지니어의 랩톱 한 대에 침해 시도가 있었을 뿐이고 그나마도 성공하지 못했다”고 설명했다. 하지만 바로 다음 날인 오늘 366개의 고객사에 영향이 있을 수 있음을 시인했다.


옥타가 실시한 분석에 의하면 공격자들은 이 366개 고객사의 데이터를 열람하거나 조작할 수 있었을 것이라고 한다. 옥타의 CSO인 데이비드 브래드버리(David Bradbury)는 어제 “고객사가 보안 강화를 위해 특별히 해야 할 일은 없다”고 했는데, 오늘도 그 내용에는 변함이 없다고 강조했다. “왜냐하면 서드파티 엔지니어의 장비에 침투했어도 할 수 있는 일이 크게 제한되어 있었기 때문입니다.”

이번 주 월요일 사이버 공격 단체인 랩서스(Lapsus$)는 텔레그램 채널을 통해 8개의 스크린샷을 공개했다. 1월 옥타의 내부 시스템에서 추출한 것이라고 주장하면서였다. 이 스크린샷에 의하면 공격자들은 옥타가 운영하던 고객 지원용 티켓, 슬랙을 통한 채팅 메시지, 백엔드 관리자 도구인 슈퍼유저(Superuser)에 모두 접근할 수 있었던 것으로 보인다. 이 스크린샷이 공개되자마자 우려의 목소리가 거세게 나오기 시작했다. 옥타를 통해 데이터 접근을 제어하고 애플리케이션 인증을 하던 기업들이 세계 곳곳에 있었기 때문이다.

옥타가 침해되었다는 건 옥타에 인증을 맡겼던 고객사들도 크게 위험해질 수 있다는 뜻이다. 특히 슈퍼유저를 공격자들이 마음대로 주무를 수 있게 될 경우 옥타의 고객 계정들까지도 마음대로 조작할 수 있게 되는 것으로 알려져 있다. 실제 한 스크린샷에서는 클라우드플레어(Cloudflare)의 환경에 공격자들이 접근한 것으로 보이는 장면이 발견되기도 했다.

하지만 브래드버리는 “슈퍼유저 계정이라고 해서 무소불위의 접근 권한을 갖는 건 아니”라고 해명했다. “이미 최소한의 권한을 부여한다는 사고방식을 가지고 만든 계정입니다. 고객 지원 엔지니어라고 해도 특수한 상황에서, 필요한 때에만 활용할 수 있었죠. 새 사용자를 만들거나 기존 사용자를 지우거나, 고객 데이터베이스를 다운로드 하거나 소스코드에 접근하도록 만들어진 것이 아닙니다.” 옥타 내부에서 사용하던 생산성 도구인 지라와 슬랙에 접근했다손 치더라도 별 문제 아니라는 브래드버리의 입장에는 변함이 없었다. “랩서스는 서드파티 엔지니어에만 접근했고, 그 엔지니어를 통해 옥타에 직접 접근하지는 못했습니다.”

옥타가 처음 해당 사건을 인지한 건 1월 20일이라고 한다. 곧바로 포렌식 조사를 시작했고, 하루 뒤 문제가 됐던 엔지니어의 접근 권한과 계정을 중단시켰다. 그리고 그 결과를 해당 엔지니어가 소속됐던 회사인 사이텔(Sitel)에 알렸고, 사이텔도 독자적으로 보안 업체에 연락해 사건의 조사를 의뢰했다. 사이텔이 조사 후 결과 보고서를 옥타에 제출한 건 3월 17일이었고, 공격자가 사이텔 환경에 1월 16일부터 21일까지, 5일간 접근했다는 사실이 공유됐다.

옴디아(Omdia)의 분석가인 에릭 파리조(Eric Parizo)는 “처음 옥타에서 사고가 났다는 소식이 알려졌을 때 사람들이 걱정했던 것보다 사건의 규모가 크지 않은 듯해 보이지만, 결국 우리의 사업 환경과 디지털 인프라가 얼마나 촘촘하게 연결되어 있는지를 다시 한 번 상기시켜주었다”고 말한다. “예를 들어 클라우드플레어는 옥타의 인증 서비스를 사용하는 회사죠. 옥타가 침해되어 인증 정보가 새나갔다면 클라우드플레어도 같이 침해된 것이나 마찬가지입니다. 특히 클라우드플레어 내부 임직원들이 비밀번호나 인증 수단을 자주 바꾸지 않는 회사였다면 피해는 더 컸었겠다고 생각할 수 있지요.”

한편 옥타와 같이 랩서스의 공격에 각종 소스코드가 유출된 것으로 알려진 MS는 랩서스에 대한 추적과 조사를 시작했다. 마이크로소프트의 경우 이 단체를 DEV-0537이라고 부른다. MS는 랩서스가 “온전히 협박과 파괴라는 기조로 운영되는 단체”라고 묘사하며, “정부, 의료, 통신, 미디어, 도소매 산업을 가리지 않고 무차별적으로 공격을 한다”고 말한다. “원래는 남아메리카 지역의 조직들을 공격하던 그룹이었고, 현재는 전 세계적으로 활동을 하고 있습니다.”

MS가 분석한 바에 의하면 랩서스는 여러 가지 기법들을 다채롭게 활용해 공격 대상의 네트워크에 침투해 들어간다고 한다. 그 기법들은 다음과 같다.
1) 레드라인(Redline) 비밀번호 탈취 멀웨어 활용
2) 다크웹 브로커들로부터 세션 토큰이나 크리덴셜을 구매
3) 공격 대상이 되는 조직들의 임직원에게 접근해 돈을 주고 매수
MS에 의하면 랩서스는 현재 통신사, 대형 소프트웨어 업체, 콜센터, 서버 호스팅 기업 직원들을 매수하기 위해 모집 활동을 펼치고 있다고 한다. 구체적인 기업 이름이 언급되기도 했는데 마이크로소프트, 애플, AT&T, IBM 등이었다.

보안 업체 베나피(Venafi)의 보안 엔지니어인 프라틱 사블라(Pratik Savla)는 “최근 랩서스가 공격 대상의 범위를 갑자기 넓혀가고 있어 다음 표적을 예측하기 힘들다”고 말하며 “그것이 랩서스의 전략일 수 있다”고 말한다. “지역도 가리지 않고 산업군도 가리지 않으니 보안 업계는 도무지 다음 피해자를 미리 알아낼 수가 없습니다. 그러는 동안 랩서스의 공격은 더 많이 성공하고 있고요. 여기 저기 시야를 돌리며 자신들의 진짜 목적을 달성시키는 새로운 전략으로 보입니다.”

사블라는 “랩서스처럼 자원이 제한적인 단체가 이처럼 많은 공격을 성공시키고 혼란을 가져다 준다는 것 자체가 매우 놀라운 일”이라고 말한다. “세계 무대에서도 첫 손에 꼽힐 만한 기업들이 랩서스에 당했습니다. 이게 어떻게 된 일인지 모두가 궁금할 수밖에 없습니다. 결국 서로가 촘촘하게 연결된 지금의 IT 환경이 얼마나 복잡한지, 그리고 그 복잡성이 얼마나 보안을 취약하게 만드는지가 드러난 건 분명합니다. 이런 경고들이 계속해서 쌓이고 있는 가운데, 우리가 공급망 강화를 위해 의미 있는 뭔가를 하고 있는지를 되돌아봐야 할 때입니다.”

3줄 요약
1. 옥타, 어제는 별일 없다더니 오늘은 300개 넘는 고객사에 영향 있다고 말 바꿈.
2. 그럼에도 고객사가 보안 강화 위해 따로 해야 할 일은 없을 것이라고 주장.
3. 아무튼 지금 드러난 건 현대 IT 환경과 소프트웨어 공급망의 취약성.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>