옥타(Okta) 계정 랩서스 해킹 전말은
엔비디아, 삼성전자를 공격한 것으로 알려진 해킹조직 랩서스(LAPSUS$)가 LG전자, 마이크로소프트, 옥타를 해킹한 정황을 나타내는 데이터를 잇달아 공개했다. 랩서스는 22일 텔레그램에 LG전자 홈페이지 직원과 서비스 계정 해시값이라고 주장한 파일(LGE-Hashes.txt)을 게시한 데 이어, 마이크로소프트 ‘빙’과 음성비서 서비스 ‘코타나’ 관련 소스코드라고 주장하는 파일과 옥타의 관리자 시스템 접근에 성공했다는 것을 나타내는 스크린샷들도 공개했다.
옥타는 클라우드 기반 사용자 인증·계정관리 전문업체로, 이 분야 선두업체로 급부상한 기업이다. 제로트러스트 환경을 구현할 수 있는 보안업체로 잘 알려진만큼 침해사고 발생시 자칫 성공가도를 달려온 옥타의 글로벌 비즈니스 확산에 치명타가 될 수 있다.
옥타는 랩서스로 인해 사건이 알려진 지난 22일(이하 미국 현지시간) 회사의 입장과 이번 사고 조사 결과를 블로그에 계속 업데이트하면서 내용을 공개하고 있다. 23일에는 웨비나도 열고 조사 결과를 설명했다.
옥타는 이번 사고 조사 결과, 협력사에서 일하는 고객지원 엔지니어의 노트북이 침해를 입어 1만5000개 이상의 고객들 가운데 2.5%가 영향을 받았을 가능성이 있다고 밝혔다.
데이비드 브래드버리(David Bradbury) 옥타 최고보안책임자(CSO)는 22일 오전 “고객에게 미치는 영향에 대해 철저한 조사를 실시하고 있다. 옥타 서비스는 침해되지 않았고 완벽하게 작동한다. 고객이 취해야할 시정조치는 없다”고 전제하고 “2022년 1월 타사 제공업체에서 일하는 고객 지원 엔지니어의 계정 침해 시도가 실패한 것을 감지해 조사했다. 공격자가 고객 지원 엔지니어의 노트북에 지난 1월 16일부터 21일까지 5일간 액세스했다. 이는 어제 확인한 스크린샷과 일치한다. 옥타 고객에 대한 잠재적 영향은 지원 엔지니어의 액세스 권한으로 제한된다”고 밝혔다.
그는 이날 오후에 업데이트한 글에서 “소수의 고객(약 2.5%)이 잠재적으로 영향을 받았으며 해당 데이터를 보거나 조치를 취했을 수 있다는 결론을 내렸다. 우리는 해당되는 고객을 식별해 이메일로 이미 연락을 취했다”라면서 “고객은 우리의 자부심이자 목적이며 최우선 순위로, 고객의 보호와 보안에 관한 우리의 책임을 매우 중요하게 생각하고 있다. 불편과 불확실성을 제공한 점에 대해 진심으로 사과한다”고 입장을 냈다.
옥타에 따르면, 이 사건을 인지한 것은 지난 1월 20일 밤이다. 옥타 보안팀은 사이텔(Sitel)의 고객 지원 엔지니어의 옥타 계정에서 이상시도를 인지하고 계정을 재설정·중지하는 등 초동 조치를 시행한 뒤 조사를 시작했다. 이후 사이텔에 알리고, 침해지표를 공유했다. 21일부터 28일까지 이 사건에 대한 외부 포렌식 기업의 조사·분석이 이뤄졌고, 3월 10일자에 사이텔에 결과가 보고됐다.
옥타는 지난 17일에 사이텔로부터 사건 요약 보고서를 받았는데, 22일 새벽에 랩서스에서 온라인으로 스크린샷을 공유하자 사이텔 사건과 관련이 있다고 판단했다. 옥타는 22일에야 사이텔로부터 보고서 원본 전체를 넘겨받았다.
브래드버리 CSO는 23일 “사이텔에 통보한 후 완전한 조사 보고서가 발행되기까지 오랜 시간이 소요됐다. 사이텔 요약보고서를 받은 뒤 그것이 무슨 의미인지 알아차리기 위해 더 빨리 움직였어야 했다”고 적었다.
조사 결과, 스크린샷은 공격자가 원격 데스크톱 프로토콜(RDP)를 사용해 원격 액세스 권한을 얻은 사이텔 지원 엔지니어의 컴퓨터에서 획득한 것으로 확인됐다.
옥타는 “공격자는 계정 탈취로 옥타 서비스에 대한 접근권한을 얻지 못했지만 옥타에 로그인한 시스템이 침해됐고 RDP 세션을 통해 스크린샷을 얻고 시스템을 제어할 수 있었다”고 결론냈다.
다만 그는 “이 엔지니어가 가지고 있었던 액세스 권한은 인바운드 지원 쿼리를 처리하는 기본 업무로 제한된다는 점을 알아야 한다”며 “대부분의 지원 엔지니어링 작업은 옥타 고객 테넌트의 기본 관리 기능을 수행하는 데 사용되는 수퍼유저(SuperUser, SU)란 내부 구축 애플리케이션을 사용해 수행된다. 이는 모든 사용자에게 ‘신과 같은 접근(god-like access)’을 지원하지 않는다. 지원 엔지니어가 자신의 역할을 수행하는 데 필요한 특정 액세스 권한만 부여받을 수 있도록 최소 권한을 염두에 두고 구축된 애플리케이션으로, 사용자를 생성하거나 삭제할 수 없으며 고객 데이터베이스를 다운로드할 수 없다”고 강조했다.
포렌식 회사는 공격자가 사이텔 환경에 2022년 1월 16일에서 21일 사이에 5일 동안 접근했다고 분석, 자체 검증했다.
옥타는 최악의 시나리오를 가정하고 이 기간 동안 모든 사이텔 직원이 SU 애플리케이션에서 수행한 모든 액세스를 조사했다. 12만50000개 이상의 로그 항목을 분석해 수행한 작업을 확인한 결과, 최대 잠재 영향은 옥타 테넌트에 액세스한 고객 366명(2.5%)으로 추렸다.
한편, 랩서스는 유명 글로벌 기업들을 잇달아 해킹했다고 공개하면서 최근 알려진 해킹조직이다. 주로 남미에서 표적 공격을 수행하며 활동해왔다는 것 외에는 잘 알려지지 않은 상황이다.
이 분석에 따르면, 랩서스는 랜섬웨어를 배포하지 않고 (데이터를) 갈취하거나 파괴하는 모델을 사용하는 것으로 알려져 있다. 영국과 남미 지역 통신사, 고등교육기관, 정부기관 등 조직들을 표적으로 삼아오다 최근 이를 포함해 기술, 미디어, 리테일, 의료 관련 기업조직 등 업종과 지역(글로벌)을 대폭 확장했다.
마이크로소프트는 “DEV-0537의 배후에 있는 행위자들은 표적 기업의 비즈니스 운영 지식을 수집하기 위해 직원, 팀 구조, 헬프데스크, 위기대응 워크플로우, 공급망관계 등에 관한 지식 등 사회공학적 노력에 주력했다. 그 사례가 다중요소인증(MFA) 프롬프트로 대상 사용자에게 스팸을 전송하고 조직 헬프데스크에 전화해 타깃의 자격증명(크리덴셜)을 재설정하는 사회공학적 전술을 사용한 것”이라며 “이들의 목표는 훔친 자격증명으로 높은 액세스 권한을 획득해 대상 조직에 대한 데이터 유출과 파괴적 공격을 가능케 해 갈취를 유발한다. 이같은 전술과 목표는 사이버범죄행위자임을 나타낸다”고 분석했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
