관리자 계정 보호 강화·사회공학 기법 이용 피싱 방어 체계 갖춰야
[데이터넷] 옥타의 ‘워크포스 아이덴티티 클라우드(WIC)’, ‘고객 아이덴티티 솔루션(CIS)’을 사용하는 모든 고객은 반드시 다단계 인증(MFA), 관리자 세션 시간 제한, 피싱 탐지 기능을 활성화해야 한다.
옥타는 10월 공개된 해킹사고로 공격자가 옥타 고객지원 시스템 사용자 이름과 이메일주소가 포함된 보고서를 실행하고 다운로드 했다고 밝히며 고객들의 각별한 주의를 당부하면서 다음의 조치를 취할 것을 권고했다.
다단계 인증(MFA): 모든 옥타 고객은 최소한 MFA를 사용해 관리자 액세스 권한을 보호할 것을 강력히 권장한다. 또한 옥타 베리파이 패스트패스, FIDO2 웹오슨, PIV/CAC 스마트 카드 등을 활용해 관리자가 피싱 피해를 입지 않도록 해야 한다.
관리자 세션 바인딩: 자율 시스템 번호(ASN)의 IP 주소에서 세션을 재사용하는 경우, 관리자 재인증으로 관리자 세션을 보호해야 한다.
관리자 세션 시간 제한: 관리자 콘솔 시간 제한을 NIST AAL3 가이드라인에 따라 기본 12시간의 세션 기간과 15분간의 유휴 시간으로 설정해야 한다. 옥타는 얼리 액세스 기능으로 이를 제공하고 있으며, 내년 1월 8일부터 모든 고객을 대상으로 제공할 계획이다.
피싱 인식: 직원 대상 피싱 시도에 대비해야 한다. 특히 IT 헬프 데스크과 관련 서비스 제공업체를 대상으로 하는 소셜 엔지니어링 시도를 주의해야 한다. 계정 등록, 인증, 복구를 위한 피싱방지 대책을 적용하며, 특히 권한 있는 계정에서 비밀번호 또는 요소 재설정 등 고위험 작업을 수행하기 전에 IT 헬프 데스크 확인 프로세스를 검토해야 한다. 중요한 변경의 경우 관리자의 대면 확인으로 적절한 점검이 수행됐는지 확인해야 한다.
침해 사실 뒤늦게 인정해 비판 받아
한편 옥타는 10월 초 비욘드트러스트 등 일부 옥타 고객이 관리자 계정에서 이상행위가 감지됐다며 확인을 요청했지만, 3주 동안 조치하지 않고 있다가 침해 발생 사실을 알려 비난을 받았다. 당시 옥타는 자사 고객 1%만이 영향을 받을 수 있으며, 민감한 정보에는 접근하지 않았다고 공개했다.
그런데 공격에 대한 세부 분석 결과, 공격자가 다운로드 한 보고서에 모든 고객 지원 시스템 사용자의 목록이 포함돼 있는 것으로 밝혀졌다. 공격자가 탈취한 정보에는 옥타 인증 사용자의 연락처 정보, 고객 아이덴티티 클라우드(CIC)를 사용하는 일부 고객의 연락처와 기타 정보가 포함돼 있었다. 옥타 직원 정보도 일부 포함됐지만, 사용자 자격 증명이나 민감한 개인정보는 포함되지 않았다고 밝혔다.
