3월부터 옥타 고객 대상 관리자 계정 탈취 시도 탐지
[데이터넷] ID 관리기업 옥타가 해킹을 당했다는 사실이 알려진 후 시가총액 20억달러 이상 피해를 입었다. 이 사실이 알려진 금요일 11%, 월요일 8% 폭락하는 피해를 입었다. 옥타는 지난해 랩서스 해킹을 받았았는데, 1년 후 또 다시 해킹을 당하면서 이미지에 심각한 타격을 입게 됐다.
특히 옥타는 랩서스 해킹 당시에도 해킹 사실을 인정하지 않으려하면서 사고 후 대응이 적절하지 않았다는 점에서 질타를 받았는데, 이번에도 사고 사실을 인지한 후 3주가 지난 다음 인정했다는 점에서 신뢰 하락을 피하지 못하고 있다.
특히 보안 전문가들은 옥타 고객의 1% 정도가 영향을 받았을 것으로 추정하고 있으며, 3월에도 해커들이 여러 고객의 옥타 시스템에 액세스하려는 시도가 감지된 바 있다. 실제로 9월 미국의 카지노 기업 시저스(Caesars Entertainment)와 MGM 리조트가 대규모 해킹피해를 입었는데, 공격자는 이 회사가 사용하는 옥타 수퍼관리자 계정을 탈취한 것으로 알려진다.
MGM 공격자의 경우, 링크드인을 통해 관리 직원 정보를 입후한 후 헬프 데스크에 전화해 이 직원의 인증정보를 바꾸고 공격을 진행했다. 보안 전문가는 단 10분의 전화통화로 339억달러 가치의 피해를 입힌 것이다.
MFA도 우회하는 공격자
이 사고를 처음 공개한 비욘드트러스트에 따르면 10월 2일 비욘드트러스트 관리자 계정에서 ID 중심 공격이 감지돼 옥타에 알렸다. 비욘드트러스트는 공격자가 옥타 지원 시스템에서 훔친 유효한 세션 쿠키를 사용해 사내 옥타 관리자 계정에 액세스하려는 공격자를 감지했으며, 옥타에 다른 고객도 영향을 받았을 수 있다고 알렸다. 그런데 옥타는 10월 19일에야 경영진을 통해 침해 발생 사실을 알려왔다고 비욘드트러스트가 폭로했다. 약 3주간 옥타 시스템을 통한 이상행위가 지속됐을 가능성이 있다.
비욘드트러스트가 감지한 이상행위는, 관리자가 옥타 지원 포털에 파일을 업로드하자 공격자가 지원 티켓의 세션 쿠키를 사용해 비욘드트러스트 옥타 환경 작업 수행을 시도했는데, 이 시간이 30분이 걸리지 않았다.
공격자는 관리 콘솔 액세스가 차단당하자 훔친 세션 쿠키로 인증된 관리 API 작업을 사용하도록 전환했으며, 기존 서비스 계정과 같은 명명 규칙을 사용해 백도어 사용자 계정을 만들었다. 공격자는 로그인 화면뿐만 아니라 MFA도 우회할 수 있었다. 비욘드트러스트는 백도어를 제거하고 이상 행위를 중단시키는 조치를 취해 자사와 자사 고객에게는 해킹 영향이 없다고 공개했다.
공격자가 관리자 권한을 탈취하면 대형 사고를 일으킬 수 있으며, 특히 ID관리 사업자와 같은 서비스 사업자를 해킹하면 대규모 피해를 양산할 수 있다. 옥타는 해킹으로 피해입은 고객이 소수에 불과하다고 공개했지만, 아직 파악되지 않은 피해가 없다고 단정할 수 없다. 옥타는 전 세계 1만8000여 기업·기관에 IDaaS를 제공하고 있으며, 이 고객들이 해킹의 영향 하에 놓였을 가능성이 있다.
