공격자들은 딱 한 번만 성공하면 된다고 한다. 레딧의 해킹 사고가 이를 적나라하게 드러냈다. 그런데 방어도 딱 한 사람의 의심으로 성공할 수 있다다는 사례가, 같은 레딧 해킹 사고를 통해 입증됐다. 사람은 보안의 최종 결론이다.
[보안뉴스 문가용 기자] 최근 유명 온라인 커뮤니티인 레딧(Reddit)에서 해킹 사고가 발생했다. 이 때문에 다중인증이라는 현대 조직들의 방어 시스템에 존재하는 약점이 고스란히 드러났다. 결론부터 말하자면 공격자들은 스피어피싱 공격을 통해 레딧 내부 직원들을 철저하게 속이는 데 성공했고, 이를 통해 크리덴셜과 이중인증용 토큰을 훔치기도 했다고 한다.
내부 직원의 크리덴셜을 훔쳐낸 공격자들은 먼저 수시간 동안 레딧의 시스템을 검토했다. 내부 문건들과 대시보드, 코드를 다양하게 열람했다고 레딧은 사건에 대해 공개하며 밝혔다. 사건에 대한 수사는 이어지는 중이지만 아직까지 사용자 데이터나 생산 시스템에 접근한 것으로 보이지는 않는다고 레딧의 CTO 크리스 슬로우(Chris Slowe)는 밝혔다. 즉 가장 핵심이 되는 부분에까지 공격자들이 도달하지는 못했을 가능성이 높다는 것이다.
최근 소셜엔지니어링 및 피싱 공격이 무섭게 증가하면서 기업들의 민감한 시스템들이 유출되는 사고가 자주 벌어지고 있다. 1월 말 경에는 유명 게임사인 라이엇게임즈(Riot Games)에서 침해 사고가 발생했었다. 이 때도 소셜엔지니어링 기법이 사용됐다고 라이엇게임즈 스스로가 밝혔었고, 이 사건 때문에 라이엇게임즈는 계획됐던 업데이트를 배포하지 못했다. 그 보다 4개월 전에는 테이크투(Take Two)라는 또 다른 유명 게임사 역시 직원 크리덴셜을 도난 당하는 바람에 정보가 침해됐었다.
정보 침해 사고는 아무리 작고 사소해도 피해액이 만만치 않으며, 그 액수는 오히려 점점 증가하고 있다. 보안 업체 바라쿠다네트웍스(Barracuda Networks)가 1350명의 IT 전문가들과 IT 보안 관리자들을 대상으로 조사한 결과 지난 한 해 동안 75%의 응답자들이 한 번 이상의 이메일 침해 사고를 겪은 바 있다고 답했다. 그리고 그런 사고 때문에 발생한 피해액 중 최고는 100만 달러인 것으로 나타났다.
그럼에도 기업들은 피싱과 스피어피싱 공격을 충분히 방어할 수 있는 것으로 느끼고 있다. “대비가 되어 있지 않다”고 답한 기업은 피싱 공격의 경우 26%, 스피어피싱의 경우 21%인 것으로 나타났다. 2019년 같은 조사에서는 각각 47%와 36%를 기록했으니, 4년 만에 큰 발전을 이룬 거라고도 볼 수 있다. “기업들이 스스로 느끼는 것과는 별개로 피싱 공격에 대한 대비가 실제 그리 잘 되어 있다고 보기는 힘듭니다. 특히 피싱/스피어피싱 공격으로 인한 계정 탈취 공격에 대해서는 꽤나 취약한 모습을 보이기도 합니다. 원격 근무가 보편화 된 요즘, 계정 탈취 공격에 취약하다는 건 커다란 약점이 될 수 있거든요.”
이중인증, 충분치 않다
크리덴셜 기반 공격을 막으려고 많은 기업들이 선택하는 방어 기법은 이중인증 및 다중인증이다. 그 중에서도 가장 인기가 높은 것은 비밀번호를 입력하고 나서 문자 메시지나 이메일로 날아오는 1회용 비밀번호를 추가로 입력하는 방식의 이중인증이다. 슬로우에 의하면 레딧에서도 모든 직원들이 이중인증 옵션을 필수로 사용하고 있었다고 한다. “내부 직원들이 내부 네트워크에 접속할 때에도 반드시 이중인증을 사용하도록 되어 있습니다.”
하지만 공격자들이 이 이중인증에 점점 익숙해지면서 여러 가지 공략법이 등장하고 있기도 하다. 우버에서 발생한 침해 사고의 경우 공격자들이 사용한 건 ‘다중인증 폭탄’이라는 기법으로, 이중인증 때문에 날아오는 문자 메시지에 질리게 만드는 것이 핵심이다. 다중인증 관련 메시지를 끊임없이 보냄으로써 아무나 먼저 질린 사람이 메시지를 확인도 하지 않고 크리덴셜과 원타임 토큰을 입력하여 공격자에게 넘기게 하는 것이다.
또한 이번 레딧의 경우처럼 내부 직원용 포털 페이지를 똑같이 만든 스피어피싱 페이지를 활용할 경우 피해자들이 크리덴셜과 이중인증 토큰을 쉽게 포기한다는 것 역시 드러나기도 했다. 보안 업체 코펜스(Cofense)의 CISO인 토니아 두들리(Tonia Dudley)는 “그래서 더 강력한 다중인증 체계로 옮겨가는 움직임이 일어나고 있다”고 말한다. “예를 들어 접근 관리 프로그램에서 사용자의 위치 정보를 파악하여 인증 과정에 활용하기도 합니다. 정상적인 위치에서 로그인을 시도하고 있다는 걸 확인하기 위해서죠.”
슬로우는 “어떤 방어 장치이든 공격자들은 항상 우회하는 방법을 들고 나타난다”며 “기업과 기관들은 지금 보유하고 있는 솔루션 하나에 만족하고 머물러 있어서는 안 된다”고 강조한다. “지금 다중인증이 한 층 더 강화된다고 하더라도, 영원히 강화된 상태는 아닐 겁니다. 공격자들이 조만간 뚫어낼 것이거든요. 즉 다중인증이라는 것도 공격의 트렌드에 따라 계속해서 조정하고 변화시켜야 하는 요소라는 겁니다.”
보안의 한결 같은 결론, 사람
레딧 해킹 사건의 경우 일부 직원이 속아서 발생한 사건이긴 하지만, 동시에 그 직원이 보안 교육을 제대로 받아 어느 정도 피해를 줄일 수 있었던 사건이기도 하다. 피싱 페이지에 자신의 크리덴셜을 입력한 직후 뭔가 이상하다는 걸 깨닫고 곧바로 내부 IT 팀에 해당 사실을 알렸기 때문이다. IT 팀들도 제보를 받고 즉각 조치를 취했고, 이 때문에 공격자들이 활동할 시간을 대폭 줄일 수 있었다고 한다.
두들리는 이런 직원의 행동이 시사하는 바가 크다고 보는 입장이다. “우리는 늘 일반 사용자가 보안의 약점이라고 말해 왔습니다. 하지만 이번 레딧 사건에서는 약점이 될 수 있던 직원이 오히려 나중에는 강점으로 작용했죠. 보안 교육의 가능성을 새롭게 제시하는 사건이 됐다고 봅니다. 일반 사용자들도 잘 훈련이 된다면 오히려 보안 병기가 될 수 있다고 말이죠.”
슬로우도 “해당 직원이 공격 성공의 단초를 제공하긴 했지만 신속한 조치를 취했기 때문에 별도의 처벌을 받지는 않을 것”이라고 발표했다. “다만 모든 접근 크리덴셜과 토큰들을 새롭게 바꿔야 하긴 할 겁니다. 그 정도를 빼면 해당 직원이 받을 불이익은 없습니다.” 그러면서 슬로우는 “딱 한 사람이 피싱에 속아도 조직 전체가 피해를 입게 된다는 게 명확히 드러난 사건”이었다고 자사의 해킹 사건을 평가한다. “그것이 누군가에게 경종이 된다면 좋겠습니다. 그렇게만 된다면 저희가 당한 피해는 사실 피해라고 보기 힘들 것입니다.”
3줄 요약
1. 최근 유명 소프트웨어 회사들이 피싱 공격에 당하기 일쑤.
2. 직원 딱 한 명이 피싱에 속았을 뿐인데 회사 전체가 피해를 입음.
3. 직원 딱 한 명이 얼른 신고했을 뿐인데 회사 전체의 피해가 줄어듦.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 최근 유명 온라인 커뮤니티인 레딧(Reddit)에서 해킹 사고가 발생했다. 이 때문에 다중인증이라는 현대 조직들의 방어 시스템에 존재하는 약점이 고스란히 드러났다. 결론부터 말하자면 공격자들은 스피어피싱 공격을 통해 레딧 내부 직원들을 철저하게 속이는 데 성공했고, 이를 통해 크리덴셜과 이중인증용 토큰을 훔치기도 했다고 한다.
[이미지 = utoimage]
내부 직원의 크리덴셜을 훔쳐낸 공격자들은 먼저 수시간 동안 레딧의 시스템을 검토했다. 내부 문건들과 대시보드, 코드를 다양하게 열람했다고 레딧은 사건에 대해 공개하며 밝혔다. 사건에 대한 수사는 이어지는 중이지만 아직까지 사용자 데이터나 생산 시스템에 접근한 것으로 보이지는 않는다고 레딧의 CTO 크리스 슬로우(Chris Slowe)는 밝혔다. 즉 가장 핵심이 되는 부분에까지 공격자들이 도달하지는 못했을 가능성이 높다는 것이다.
최근 소셜엔지니어링 및 피싱 공격이 무섭게 증가하면서 기업들의 민감한 시스템들이 유출되는 사고가 자주 벌어지고 있다. 1월 말 경에는 유명 게임사인 라이엇게임즈(Riot Games)에서 침해 사고가 발생했었다. 이 때도 소셜엔지니어링 기법이 사용됐다고 라이엇게임즈 스스로가 밝혔었고, 이 사건 때문에 라이엇게임즈는 계획됐던 업데이트를 배포하지 못했다. 그 보다 4개월 전에는 테이크투(Take Two)라는 또 다른 유명 게임사 역시 직원 크리덴셜을 도난 당하는 바람에 정보가 침해됐었다.
정보 침해 사고는 아무리 작고 사소해도 피해액이 만만치 않으며, 그 액수는 오히려 점점 증가하고 있다. 보안 업체 바라쿠다네트웍스(Barracuda Networks)가 1350명의 IT 전문가들과 IT 보안 관리자들을 대상으로 조사한 결과 지난 한 해 동안 75%의 응답자들이 한 번 이상의 이메일 침해 사고를 겪은 바 있다고 답했다. 그리고 그런 사고 때문에 발생한 피해액 중 최고는 100만 달러인 것으로 나타났다.
그럼에도 기업들은 피싱과 스피어피싱 공격을 충분히 방어할 수 있는 것으로 느끼고 있다. “대비가 되어 있지 않다”고 답한 기업은 피싱 공격의 경우 26%, 스피어피싱의 경우 21%인 것으로 나타났다. 2019년 같은 조사에서는 각각 47%와 36%를 기록했으니, 4년 만에 큰 발전을 이룬 거라고도 볼 수 있다. “기업들이 스스로 느끼는 것과는 별개로 피싱 공격에 대한 대비가 실제 그리 잘 되어 있다고 보기는 힘듭니다. 특히 피싱/스피어피싱 공격으로 인한 계정 탈취 공격에 대해서는 꽤나 취약한 모습을 보이기도 합니다. 원격 근무가 보편화 된 요즘, 계정 탈취 공격에 취약하다는 건 커다란 약점이 될 수 있거든요.”
이중인증, 충분치 않다
크리덴셜 기반 공격을 막으려고 많은 기업들이 선택하는 방어 기법은 이중인증 및 다중인증이다. 그 중에서도 가장 인기가 높은 것은 비밀번호를 입력하고 나서 문자 메시지나 이메일로 날아오는 1회용 비밀번호를 추가로 입력하는 방식의 이중인증이다. 슬로우에 의하면 레딧에서도 모든 직원들이 이중인증 옵션을 필수로 사용하고 있었다고 한다. “내부 직원들이 내부 네트워크에 접속할 때에도 반드시 이중인증을 사용하도록 되어 있습니다.”
하지만 공격자들이 이 이중인증에 점점 익숙해지면서 여러 가지 공략법이 등장하고 있기도 하다. 우버에서 발생한 침해 사고의 경우 공격자들이 사용한 건 ‘다중인증 폭탄’이라는 기법으로, 이중인증 때문에 날아오는 문자 메시지에 질리게 만드는 것이 핵심이다. 다중인증 관련 메시지를 끊임없이 보냄으로써 아무나 먼저 질린 사람이 메시지를 확인도 하지 않고 크리덴셜과 원타임 토큰을 입력하여 공격자에게 넘기게 하는 것이다.
또한 이번 레딧의 경우처럼 내부 직원용 포털 페이지를 똑같이 만든 스피어피싱 페이지를 활용할 경우 피해자들이 크리덴셜과 이중인증 토큰을 쉽게 포기한다는 것 역시 드러나기도 했다. 보안 업체 코펜스(Cofense)의 CISO인 토니아 두들리(Tonia Dudley)는 “그래서 더 강력한 다중인증 체계로 옮겨가는 움직임이 일어나고 있다”고 말한다. “예를 들어 접근 관리 프로그램에서 사용자의 위치 정보를 파악하여 인증 과정에 활용하기도 합니다. 정상적인 위치에서 로그인을 시도하고 있다는 걸 확인하기 위해서죠.”
슬로우는 “어떤 방어 장치이든 공격자들은 항상 우회하는 방법을 들고 나타난다”며 “기업과 기관들은 지금 보유하고 있는 솔루션 하나에 만족하고 머물러 있어서는 안 된다”고 강조한다. “지금 다중인증이 한 층 더 강화된다고 하더라도, 영원히 강화된 상태는 아닐 겁니다. 공격자들이 조만간 뚫어낼 것이거든요. 즉 다중인증이라는 것도 공격의 트렌드에 따라 계속해서 조정하고 변화시켜야 하는 요소라는 겁니다.”
보안의 한결 같은 결론, 사람
레딧 해킹 사건의 경우 일부 직원이 속아서 발생한 사건이긴 하지만, 동시에 그 직원이 보안 교육을 제대로 받아 어느 정도 피해를 줄일 수 있었던 사건이기도 하다. 피싱 페이지에 자신의 크리덴셜을 입력한 직후 뭔가 이상하다는 걸 깨닫고 곧바로 내부 IT 팀에 해당 사실을 알렸기 때문이다. IT 팀들도 제보를 받고 즉각 조치를 취했고, 이 때문에 공격자들이 활동할 시간을 대폭 줄일 수 있었다고 한다.
두들리는 이런 직원의 행동이 시사하는 바가 크다고 보는 입장이다. “우리는 늘 일반 사용자가 보안의 약점이라고 말해 왔습니다. 하지만 이번 레딧 사건에서는 약점이 될 수 있던 직원이 오히려 나중에는 강점으로 작용했죠. 보안 교육의 가능성을 새롭게 제시하는 사건이 됐다고 봅니다. 일반 사용자들도 잘 훈련이 된다면 오히려 보안 병기가 될 수 있다고 말이죠.”
슬로우도 “해당 직원이 공격 성공의 단초를 제공하긴 했지만 신속한 조치를 취했기 때문에 별도의 처벌을 받지는 않을 것”이라고 발표했다. “다만 모든 접근 크리덴셜과 토큰들을 새롭게 바꿔야 하긴 할 겁니다. 그 정도를 빼면 해당 직원이 받을 불이익은 없습니다.” 그러면서 슬로우는 “딱 한 사람이 피싱에 속아도 조직 전체가 피해를 입게 된다는 게 명확히 드러난 사건”이었다고 자사의 해킹 사건을 평가한다. “그것이 누군가에게 경종이 된다면 좋겠습니다. 그렇게만 된다면 저희가 당한 피해는 사실 피해라고 보기 힘들 것입니다.”
3줄 요약
1. 최근 유명 소프트웨어 회사들이 피싱 공격에 당하기 일쑤.
2. 직원 딱 한 명이 피싱에 속았을 뿐인데 회사 전체가 피해를 입음.
3. 직원 딱 한 명이 얼른 신고했을 뿐인데 회사 전체의 피해가 줄어듦.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
[2025-04-07] 
