• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

옥타의 관리자 계정 노리는 소셜엔지니어링 공격, 최근 유행하고 있어 2023.09.06

복잡한 IAM 관리를 위한 솔루션인 옥타가 공격자들의 표적이 되고 있다. 공격자들은 기존 기능들을 자신들의 목적 달성을 위해 악용하고 있기도 하다. 관리자 계정에 대한 특별 관리가 필요하다.

[보안뉴스 문가용 기자] 위협 행위자들이 소셜엔지니어링 기법을 이용하여 옥타(Okta) 계정들을 노리고 있다. 특히 권한이 높은 기업용 옥타 계정들을 관리하는 부서나 담당자들을 속이는 공격이 유행하는 중이다. 피해자가 옥타 계정에 걸린 다중인증 기능을 무력화 하거나 재설정 하도록 꾀어 접근한 후 옥타의 IAM 서비스에 접근하고 피해자 네트워크 내에서 횡적으로 움직일 수 있게 되는 것이 궁극적인 목적이다.

[이미지 = gettyimagesbank]


옥타는 클라우드 기반의 기업용 IAM 서비스다. 기업들은 옥타를 통해 임직원들의 계정을 관리할 수 있으며, 각 계정이 어떤 장비나 애플리케이션에 어떤 권한을 가지고 접근할 수 있는지 제어할 수 있게 된다. 전 세계 1만 7천 개 이상의 기업들이 옥타를 사용하고 있다. 클라우드를 위해 마련된 시스템이지만 온프레미스 애플리케이션들과도 호환성이 나쁘지 않은 편이다.

최근 미국의 옥타 고객들 사이에서는 옥타 사용자를 사칭하는 시도가 지속적으로 발견되고 있다는 제보가 증가했다. 옥타가 조사했을 때, 대부분 가장 권한이 높은 관리자(Super Admin) 계정을 노리는 것으로 밝혀졌다. “공격자들은 권한이 높은 사용자 계정의 로그인에 사용할 수 있는 비밀번호를 확보하거나 액티브 디렉토리(AD)의 인증 관련 기능을 조작한 후 IT 서비스 데스크에 전화를 걸어 다중인증을 리셋해 달라고 요청하는 수법을 쓰고 있었습니다.” 옥타가 자사 블로그를 통해 밝힌 내용이다.

그렇게 하여 높은 권한 계정을 탈취하는 데 성공한 해커들은 그 권한을 악용해 여러 가지 행위를 실시할 수 있었다.
1) 다른 계정들에 더 높은 권한 부여하기
2) 기존 관리자 계정들에 등록된 인증 장치나 방법들을 재설정하기
3) 이중인증의 두 번째 단계 인증 장치를 삭제하기
이렇게 했을 때 공격자들은 피해자 기업의 네트워크 내에서 횡적으로 움직일 수 있게 됐다고 옥타는 설명했다.

아이덴티티 및 접근 권한 조작하기
이 캠페인에서 공격자들이 적극적으로 악용하는 건 옥타가 제공하는 기능인 ‘인바운드 페더레이션(Inbound Federation)’인 것으로 분석됐다. 인바운드 페더레이션은 ID 제공자(IdP)의 애플리케이션들에 안전하게 접근할 수 있도록 해 주는 기능으로, 접근이 필요한 시기에만 권한을 제공함으로써 계정 권한 설정에 드는 시간을 아끼게 해 준다. 수많은 아이덴티티와 애플리케이션, 장비들 간 권한을 일일이 설정해 줘야 하는 대기업들 사이에서 인기가 높다.

이 인바운드 페더레이션을 어느 선까지 활용할 수 있느냐는 접속하는 계정의 권한에 따라 달라진다. 공격자들이 노리는 최고 권한 관리자 계정의 경우(Super Admin이나 Org Admin), 인바운드 페더레이션의 모든 기능을 사용할 수 있다. 그 중 하나는 지나치게 많은 계정들이 높은 권한을 갖게 되는 것을 막기 위해 다른 계정에 임시 관리자 권한(Custom Admin)을 부여하는 것이다. 공격자들은 최고 관리자 계정을 탈취한 뒤 이 기능을 활용해 자신들이 제어할 만한 계정에 높은 권한을 부여하고 있었다.

높은 권한을 가진 계정과 사용자 보호하기
옥타는 “IAM 솔루션이나 플랫폼을 사용할 때 권한이 높은 계정들을 신경 써서 보호해야 하는 이유를 잘 드러내는 사건”이라고 분석한다. 그러면서 그러한 계정들을 효과적으로 보호하는 데 도움이 될 만한 여러 가지 팁들을 제공했다.

“높은 권한을 가진 관리자 계정을 너무 많이 만들지 않아야 합니다. 수를 제한하세요. 또한 그러한 계정에 접근하려 할 때 지켜야 할 수칙과 성립되어야 할 조건들을 엄격하게 정하고 시행해야 합니다. 해당 계정들에 접근하려는 시도들을 실시간으로 모니터링하는 것도 중요합니다.” 옥타가 특별히 강조한 내용이다.

옥타를 사용하는 기업이라면 옥타 애플리케이션의 인증정책(Authentication Policies) 기능을 다시 설정해 두는 것도 좋다. “이 때 로그인을 할 때마다 재인증 해야 한다는 내용의 옵션을 활성화시키는 게 좋습니다. 이렇게 했을 때 네트워크와 인증 환경이 보다 안전해질 수 있습니다.”

3줄 요약
1. 최근 옥타의 최고 권한 계정 노리는 공격 이어지고 있음.
2. 공격자들은 최고 권한을 가졌을 때 발휘할 수 있는 여러 기능을 악용함.
3. IAM 생태계에서 높은 권한을 가진 계정을 특별히 더 단단히 보호해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>