우버 해킹 사건 배후에 랩서스? 아니, 오히려 IT 전반의 문제가 드러나

우버 해킹 사고의 전말이 조금씩 드러나는 상황이다. 처음에는 침묵을 지키던 우버에 비판조의 목소리가 나오더니, 지금은 모든 기업들이 겪을 수 있었던 사건이라는 방향의 의견들이 나오기 시작했다. IT 기술 발전 및 도입 방향성 자체가 가진 문제들이 불거진 사건이라는 것이다.

[보안뉴스 문가용 기자] 우버가 지난 주말 발생한 대규모 정보 유출 사건의 배후에 랩서스(Lapsus$)가 있다고 주장했다. 월요일 회사 공식 입장문을 통해 “랩서스라고 알려진 해킹 그룹과 관련이 있는 자가 벌인 짓”이라고 발표한 우버는 사건에 대한 세부 내용을 조금 더 공개하기도 했다. 랩서스는 시스코(Cisco), 마이크로소프트(Microsoft), 엔비디아(Nvidia), 옥타(Okta), 삼성 등을 해킹하여 이름을 알린 해킹 단체다. 다중인증 장치를 우회하는 공격 도구를 사용하는 것으로도 알려져 있다.

[이미지 = utoimage]

최근 우버는 지난 주말 한 18세 소년이 해킹했다고 주장하며 뜨거운 관심을 받고 있다. 하지만 우버 측에서는 별다른 내용을 공개하지 않았다. 그러다가 이번 주 월요일(현지 기준) “해커는 외부 계약자의 VPN 크리덴셜을 취득했고, 이를 통해 우버 내부 네트워크로 들어왔다”고 발표했다. 외부 계약자의 VPN 크리덴셜은 다크웹에서 구매한 것 같다는 설명도 덧붙었다. 하지만 이것만 가지고는 제대로 접속할 수가 없었다. 이중인증으로 계정이 보호되어 있었기 때문이다.

이에 공격자는 왓츠앱 메신저를 통해 해당 직원에게 접근했다. 기술 지원 부서의 직원을 사칭하면서였다. “기술 점검에 들어간다면서 이중인증 프롬프트 창이 뜰 때 확인 버튼을 눌러달라고 요청했습니다. 해당 직원은 속았고, 제대로 일하고 있던 이중인증 장치에 손을 댐으로써 공격자가 접속할 수 있도록 만들었습니다. 다중인증 경고창에 대한 사람들의 피로감을 이용한 것이라고도 볼 수 있습니다. 다중인증이 꽤나 강력한 보안 장치이긴 하지만 로그인 할 때마다 여러 번 뭔가를 입력해야 해서 사람들이 서서히 지쳐가고 있거든요.” 보안 업체 세이지(Xage)의 CEO인 던칸 그린우드(Duncan Greenwood)의 설명이다.

최초 침투 이후
침투에 성공한 공격자는 내부 시스템 여러 개를 침해하기 시작했다. 아직 이 부분에 있어서 피해가 어느 정도 있었는지 확실하지 않으며, 우버는 “현재 내부적인 영향 분석을 실시하는 중”이라고 발표했다. “공격자는 다른 내부 직원들의 계정에도 접속을 한 것으로 보입니다. 이를 통해 지스위트(G-Suite)나 슬랙(Slack) 등 내부 직원들이 여러 가지 목적으로 사용하고 있는 각종 도구들에도 접근하는 데 성공했을 것으로 예상하고 있습니다.”

현재까지 조사된 바에 의하면 공격자는 우버 내부의 코드베이스를 임의로 조작하거나, 클라우드에 저장된 고객/사용자 데이터에 접근하지는 않은 것으로 보인다고 우버는 주장한다. 하지만 슬랙을 통해 내부 직원들끼리 주고 받은 메시지들은 일부 다운로드 받은 것 같다고 한다. 내부 재무팀에서 인보이스 관리를 위해 사용하던 도구에서도 공격자의 흔적이 발견됐다. 해커원(HackerOne) 플랫폼을 통해 취약점 정보도 유출된 것이 일부 보안 전문가들에 의해 지적됐는데 우버는 해당 취약점들 전부 해결이 된 상황이라고 밝혔다.

다중인증, 만능이 아니다
그린우드는 다중인증 시스템이 뚫린 것이 꽤나 중대한 사안이라고 지적한다. “이제 다중인증이 보편화 되다 보니까 사용자들 사이에서 다중인증에 대한 피로가 누적되고 있고, 그걸 해커들이 벌써부터 이용하기 시작했다는 게 놀라운 일입니다. 공격자는 공격의 열쇠가 된 직원이 반복해서 다중인증 관련 메시지를 받도록 의도적으로 로그인 실패를 반복했습니다. 그렇게 해서 피로감을 조성한 후에 기술 부서를 사칭해 인증을 허락해 달라고 요청한 것이죠. 이런 패턴이 다른 공격 사례에서도 조금씩 나타나는 추세입니다.”

그러면서 “결국 아무리 많이 성공해도 한 번만 승인 과정을 통과하면 된다는 약점이 다중인증 시스템에도 존재하는 것”이라고 그는 다중인증의 맹점을 짚는다. “사실 이것은 모든 다중인증 시스템이 가진 한계이지, 특별히 우버이기 때문에 취약했던 것이라고 보기 힘듭니다. 우버의 내부 보안 상황에 대한 점검이 필요한 건 사실이지만 다중인증에서 만큼은 모든 조직들에 공통으로 적용될 수 있는 취약점이 노출된 거라고 봅니다.”

보안 업체 키퍼시큐리티(Keeper Security)의 부회장 패트릭 티켓(Patrick Tiquet)도 “이번 우버 해킹 사건으로 다중인증에 대한 기본적인 오해가 드러났다”고 말한다. “분명 다중인증은 보안 장치를 겹겹이 쌓는 데에 있어 중요한 부분을 차지하는 요소입니다. 하지만 문제는 다중인증 안에서도 여러 가지 기술들이 존재하고, 보안성이 각기 다르다는 겁니다. 강력한 다중인증이 있고 비교적 약한 다중인증이 있습니다. 즉 다중인증을 도입했다는 것이 아니라 어떤 다중인증을 도입했느냐가 문제라는 것이죠.”

그러면서 티켓은 심스와핑(SIM-swapping) 공격을 예로 든다. “모바일 문자 메시지를 통해 두 번째 인증 코드가 전송되는 방식의 다중인증은 심스와핑이라는 공격 기술을 통해 간단히 깨질 수 있습니다. 이미 널리 알려진 기법이고, 이런 기술이 개발되면서 문자 기반 다중인증은 약하다고 평가를 받기 시작했죠. 실제로 인증 앱이나 물리 보안 키, 생체 정보를 활용한 다중인증이 훨씬 강력합니다.”

보안 전문가 빌 데머카피(Bill Demirkapi)는 “모든 다중인증은 중간자 공격에 취약한 편”이라고 지적하며 “중간자 공격에 강력한 다중인증을 선택하는 게 권장된다”고 말한다. “강력하지 않은 다중인증을 채택했다는 점에서 우버의 실수를 지적할 수는 있겠지만, 사실 강력한 다중인증을 도입한 조직 자체가 얼마 되지 않습니다. 대부분 편리한 문자 기반 인증을 활용하죠.”

클라우드 서비스도 해킹 위험을 증가시킨다
보안 업체 너지시큐리티(Nudge Security)의 CEO 러셀 스피틀러(Russell Spitler)는 “클라우드 서비스를 빠르게 도입했을 때, 그리고 분산된 업무 네트워크 모델을 유지했을 때 기업에 어떤 위험이 있을 수 있는지를 보여주는 사건”이라고 이번 우버 해킹 사건을 두고 말한다. “분산된 형태로 기업들이 점점 변화하고 있는데, 이런 경우 슬랙이나 왓츠앱과 같은 소통 도구들이 매우 중요한 역할을 할 수밖에 없게 됩니다. 이런 서비스들의 철저한 관리와 교육이 필요한 이유입니다.”

“현대 IT 환경은 너무나 빠르게 변하고 있습니다. 클라우드 도입 속도도 빠르고, 그에 따라 네트워크 인프라가 분산되는 속도도 빠릅니다. IT 환경 자체가 너무나 빠르게 복잡해지고 있는 겁니다. 그 속도를 보안이 못 따라잡고 있습니다. 이번 사건은 그 속도의 차이를 드러낸 경우라고 보고 있습니다. 보안이 따라잡지 못한 그 공간을 그리 실력이 좋지 않은 공격자들까지 누비고 있는 것이죠.”

3줄 요약
1. 우버, 드디어 해킹 사건의 일부 내용을 공개.
2. 다중인증도 뚫리고, 클라우드 서비스들도 공격에 활용되고.
3. 딱히 우버가 못했다기보다, IT 생태계 전반의 문제들이 불거진 사건.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)