코인베이스, 최근 발생한 피싱 공격 공개하며 다른 업체들에 경고

암호화폐 거래소인 코인베이스가 최근 사이버 공격자들의 집중적인 공격을 받고 있다. 코인베이스는 삼엄한 방어 인프라를 가동하고 있었지만 딱 한 명의 직원이 속았기 때문에 일부 정보가 유출됐다. 그럼에도 그 삼엄한 방어 인프라 덕분에 피해 확산을 막을 수 있었다.

[보안뉴스 문정후 기자] 암호화폐 거래소인 코인베이스(Coinbase)의 직원들이 연속적인 스미싱 공격의 표적이 되고 있다. 공격자들은 일부 직원들을 속이는 데 성공했고, 개인정보에도 어느 정도 접근할 수 있었다고 한다. 그러면서 다중인증 시스템도 통과해 코인베이스 내부 시스템에도 직접 접속할 수 있게 되었다. 다만 코인베이스 측에서 빠르게 대응을 했기 때문에 피해가 크지는 않았다고 한다.

[이미지 = utoimage]

코인베이스는 이번에 이어진 사이버 공격 캠페인이 지난 해 옥타(Okta) 임직원들을 겨냥한 SMS 피싱 공격인 옥타푸스(Oktapus)의 배후에 있는 공격 단체에 의해 자행된 일이라고 보고 있다. 그러면서 자사에 발생한 공격의 세부적인 내용들을 블로그를 통해 상세히 공개하기도 했다. 해당 내용에 의하면 공격이 발생한 경위는 다음과 같다.

1) 공격자들이 악성 문자 메시지를 코인베이스 직원들에게 보냈다.
2) 한 직원이 여기에 응했고, 업무용 크리덴셜을 공격자에게 빼앗겼다.
3) 공격자들이 로그인을 시도하자 다중인증 시스템이 발동됐다.
4) 속았던 직원의 계정으로 누군가 접근을 시도했지만 다중인증에 막혔다.
5) 공격자들은 직원에게 직접 전화를 걸었다.
6) 코인베이스의 보안 시스템이 작동을 시작했고 공격자가 움직이고서 10분도 지나지 않아 대응이 완료됐다.

코인베이스의 CISO인 제프 렁글로퍼(Jeff Lunglhofer)는 “딱 한 사람만 뚫려도 조직 전체가 위험해질 수 있다는 사실이 다시 한 번 입증됐다”고 이번 사건을 평가한다. “사실 이런 내용을 공개한다는 게 기업 입장에서는 쉬운 결심이 아닙니다. 하지만 요즘 이런 사건들이 자주 일어나고 있고, 직원 한두 명으로 인해 위험이 초래되는 일들이 있기에 방어에 도움이 되기를 바라는 마음에서 사건을 상세히 공개하기로 했습니다.”

코인베이스에서는 어떤 일이 일어났나?
먼저 코인베이스는 규모가 큰 거래소로, 전 세계에 약 1200명의 직원을 두고 있다. 사용자는 1억 8백만 명이 넘는 것으로 알려져 있다. 그러므로 공격자들에게 꽤나 인기가 높을 수밖에 없다. 그런 상황에서 지난 2월 5일, 일부 직원의 핸드폰으로 문자 메시지가 날아들었다. 링크가 하나 걸려 있었다. 급히 전달해야 할 내용이 있으니 해당 링크를 통해 회사 계정으로 빠르게 접속하라는 내용이었다.

메시지를 전달 받은 직원들 거의 대부분은 피싱을 알아차렸고, 무시했다. 딱 한 명이 속았다. 링크를 클릭했고, 로그인을 했다. 공격자들은 사용자 이름과 비밀번호를 획득했다. 이를 이용해 코인베이스 시스템에 로그인을 시도했다. 하지만 다중인증에 막혔다.

보통 공격자들이었다면 여기서 공격을 중단했을 것이다. 하지만 이 공격자들은 달랐다. “왜냐하면 이들은 이미 작년부터 집요하게 기업들을 공격해 뚫어내는 고급 공격 단체였기 때문입니다. 옥타만이 아니라 130개가 넘는 조직들이 당했고, 총 9931개의 기업 계정들이 침해됐습니다. 그런 경험을 가진 공격자가 다중인증에 한 번 막혔다고 포기하지는 않죠.”

피싱 문자가 직원들의 전화기로 날아들고 20분 후, 속았던 한직원의 전화기가 울리기 시작했다. 공격자들이었다. 이들은 코인베이스의 IT 팀이라고 스스로를 소개했다. 직원의 협조가 필요하다고 말했다. 이번에도 직원은 속았고, 공격자들이 시키는 일들을 그대로 수행했다. 다중인증을 통과했고, 결국 회사 시스템에 접속했다. 하지만 그러면서도 뭔가 수상하다는 느낌을 받기 시작했다. 하지만 이미 공격자들은 일부 정보를 열람할 수 있는 상황이었다. 직원들과 회사 간 계약서 몇 장이었다. 고객 정보와 코인베이스의 중요한 내부 정보는 무사했다.

결국 코인베이스의 보안 시스템이 발동됐다. 문제의 직원과 관련하여 이상한 일들이 일어나고 있음을 곧바로 탐지했고, 그 직원에게 전화를 걸었다. 그제야 공격에 당했음을 알아챈 직원은 공격자와의 통화를 급하게 종료했다. 보안 팀은 그 직원의 계정을 비활성화시킴과 동시에 조사에 착수했다.

스미싱 공격, 왜 성공하는가?
렁글로퍼는 “이번 사태를 통해 왜 스미싱이나 피싱 공격이 그토록 성공가도를 달리고 있는지를 알 수 있다”고 짚었다. “인터넷이라는 통신 채널이 주류가 되고서부터 피싱 공격은 늘 해커들의 가장 중요한 수단이 되었죠. 수십년 동안 전성기를 누리고 있는 겁니다. 일반인들이 잘 알고 있는 공격임에도 불구하고요.”

그러면서 렁글로퍼는 “피싱 공격에 대해 아는 것과, 자신에게 가해지는 속임수를 구분하는 것은 다른 문제일 수 있다”고 짚는다. “팀에 녹아들고 싶고, 자신이 속한 조직에 도움을 주고 싶은 건 거의 모든 사람의 본능과 같습니다. 그런 점을 공격자들이 영리하게 파고들면 아무리 피싱 공격에 대해 잘 아는 사람이라도 한 번쯤은 속을 수 있습니다. 공격자들에게 중요한 건 그 딱 한 번이고요. 누구나 피싱 공격에 당할 수 있습니다.”

그렇기에 보안 업계는 항상 “사람이 가장 약한 고리”라고 강조한다. “왜 지난 수년 동안 가장 약한 고리인 인간은 개선되지 않고 있을까요? 그 약한 고리라는 걸 침해 사고의 변명으로 사용하고 있기 때문입니다. 사람이라서 어쩔 수 없다, 사람이라서 당했다, 이런 논리로 방어막을 치고만 있지 사실 개선은 하고 있지 않은 겁니다. 보다 능동적인 사이버 보안 전략까지 가미해서 교육을 이뤄내야 하는데, 교육 방식조차 그리 크게 바꾸지 않고 있는 게 우리의 현실입니다.”

코인베이스는 이번에 발생한 사건의 상세 내용을 공개하면서 공격자들이 사용했던 전략과 기술, 공격 절차들을 최대한 많이 공개했다. “저희에게는 치부가 될 수 있는 것들을 가감없이 드러냈습니다. 이를 통해 ‘실질적인 개선’이 있기를 바라기 때문입니다. 필요한 것은 개선이지, 사람이 약한 고리라는 지겨운 사실만 계속해서 되뇌이는 건 아닙니다.”

글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)