랩서스라는 해킹 단체가 요즘 두각을 나타내고 있다. 엔비디아, 유비소프트, 삼성, 보다폰에서 빼낸 데이터라며 정보를 공개하더니, 이번에는 옥타와 마이크로소프트를 뚫어냈다고도 공개했다. 옥타라면 인증 관리 대행 분야의 세계 1위 기업이다.

[보안뉴스 문가용 기자] 최근 활동력을 높이고 있는 랜섬웨어 그룹 랩서스(LAPSUS$)가 이번 주 마이크로소프트로부터 소스코드와 옥타의 관리자 계정 크리덴셜을 훔치는 데 성공했다고 발표하며 주목을 끌고 있다. 엔비디아, 삼성, LG, 유비소프트 등을 해킹해 온 랩서스는 올해 들어 가장 주목 받는 해킹 단체임이 분명하다.

​

[이미지 = utoimage]

옥타(Okta)에서 벌어진 사건이 진짜라면, 이는 대단히 우려스러운 일이라는 반응이 보안 업계에서 나오기 시작했다. 옥타는 인증 및 접근 제어 시스템을 제공하는 업체로, 세계 유수의 조직들이 옥타의 고객사이기 때문이다. 랩서스가 옥타를 해킹했다며 근거로 제시한 스크린샷을 분석한 보안 전문가 한 사람은 이번 주 월요일 “공격자들이 서드파티 고객 지원 엔지니어의 시스템을 통해 옥타 백엔드 관리자 패널에 접근한 것으로 보인다”고 발표했다.

하지만 옥타의 CSO인 데이비드 브래드버리(David Bradbury)는 화요일 “이번 해킹 사건은 비교적 규모가 작은 사고”라며 “옥타의 모든 고객들은 별도의 조치를 취할 필요가 없다”고 발표했다. 외부 업체와 함께 사건을 조사해 보니 공격자들이 1월 16일부터 21일까지 고객 지원 엔지니어의 랩톱에 머물러 있었던 것이 전부였기 때문이라고 설명하면서였다. 단지 그것만으로는 가짜 사용자들을 생성하거나 기존 사용자를 삭제할 수 없었고, 고객 데이터베이스를 다운로드 하는 것도 불가능했을 거라고 옥타는 결론을 내렸다고 한다. 엔지니어가 사용하던 비밀번호에도 공격자가 접근할 수 없었다고 브래드버리는 말했다.

더욱 염려되는 건 옥타가 이 사건에 대해 1월 말부터 알고 있었지만 이번 주까지 함구하고 있던 것으로 보이기 때문이다. 이는 데이터 침해 공격이 고객사로 퍼져가도록 방치한 것과 같다. 그래서인지 옥타의 고객사 중 하나인 클라우드플레어(Cloudflare)의 CEO는 이미 옥타를 대신할 파트너사를 물색 중에 있다고 발표했고, 그런 내용을 담은 트윗에 옥타의 늦은 고지에 분노하는 답글들이 달리기 시작했다. 게다가 옥타의 발표에는 사건에 관한 내용이 없다시피 해서 문제가 되고 있기도 하다.

한편 랩서스는 랜섬웨어 공격을 주무기로 하고 있는 사이버 갱단으로, 수개월 전 갑작스레 등장해 굵직한 사건들을 연쇄적으로 일으키고 있다. 이번 주 월요일 자신들이 운영하는 텔레그램 채널에 여러 개의 스크린샷을 올리며 마이크로소프트와 옥타의 시스템들로부터 데이터를 훔치는 데 성공했다고 발표했다. 이를 분석한 보안 전문가에 따르면 그 중 총 8개의 이미지는 옥타 내부 시스템에서 캡쳐한 이미지들이라고 한다.

그 외 나머지 이미지들은 MS 빙 검색엔진, 빙 맵스, 코타나의 소스코드와 관련이 있는 것으로 보인다고 한다. 이미 일부 전문가들이 발표한 보고서에 따르면 도난 당한 마이크로소프트의 소스코드는 총 37GB라고 하는데, 아직 공식 확인된 내용은 아니다. 현재 MS는 이러한 상황에 대하여 전부 인지하고 있고 사실 확인을 위해 조사 중인 입장이다.

슈퍼유저 접근 권한

독립적으로 활동하는 보안 전문가 빌 드머카피(Bill Demirkapi)는 옥타의 것이라고 랩서스가 주장한 이미지들을 분석한 사람들 중 하나다. 그는 분석 결과 “공격자들이 옥타의 고객 지원 서드파티 업체인 사익스 엔터프라이즈(Sykes Enterprises Inc.)에서 근무하는 한 직원의 기계를 침해했음을 알아냈다”고 발표했다. “해당 직원은 ‘티어 2 지원’을 담당하고 있는 것으로 보입니다.”

랩서스는 이 직원이 가지고 있던 접근 권한을 사용해 옥타가 슬랙(Slack) 상에서 했던 채팅 메시지들에 접근할 수 있게 됐다. 그 외에도 지라(Jira)에서의 고객 지원 티켓, 백엔드 관리자 도구인 “superuser” 계정에도 접근하는 데 성공했다고 드머카피는 설명한다. “랩서스는 자신들의 텔레그램을 통해 ‘옥타를 표적으로 삼아 공격한 건 아니’라고 분명하게 밝히고 있습니다. 이들이 노린 건 옥타의 고객들이었다고 하지요. 실제로 이들은 파트너사들을 통해 공격을 실시했습니다.”

하지만 아직까지 랩서스가 옥타의 고객들로부터 어떤 데이터를 가지고 갔는지는 확실히 파악이 되지 않고 있다. “슈퍼유저라는 도구는 옥타 고객들을 관리하기 위한 시스템에 공격자도 접근할 수 있도록 해 주었습니다. 하지만 공격자들이 실제로 어떤 행위들을 어느 정도나 활발하게 했는지는 알 수 없습니다. 다만 클라우드플레어의 환경으로 들어갔던 공격자들이 임직원의 비밀번호들을 리셋했다는 것 정도는 이번에 공개된 자료를 통해 확인할 수 있었습니다.” 그러면서 드머카피는 “옥타의 고객사라면 지난 90일 동안의 옥타 보안 로그를 확인하는 게 좋다”고 권고한다.

옥타의 CEO인 맥키논은 랩서스가 공개한 스크린샷들이 1월 말 정도에 발생한 침해 사고와 관련이 있어 보인다고 말했다. “당시 공격자들은 서드파티 고객 지원 엔지니어의 시스템에 침투하는 데 성공했습니다. 그래서 저희는 내부적으로 조사에 착수했고, 문제가 된 시스템을 네트워크에서부터 분리해 고립시켰습니다. 현재까지 진행된 조사에 의하면 악성 행위가 지속되는 건 아닌 것으로 보이며, 1월부터는 공격이 사라진 것처럼 생각되기도 합니다.”

풀리지 않는 의문들

보안 업체 사이코드(Cycode)의 CTO인 로넨 슬라빈(Ronen Slavin)은 이번 옥타 사건에서 분명히 해야 할 건 랩서스가 고객 데이터에 접근했느냐 안 했느냐라고 강조한다. “옥타는 각 고객사의 인증 키를 관리하는 업체입니다. 즉 모든 고객사의 가장 중요한 금고 열쇠를 가지고 있는 것과 마찬가지죠. 심지어 공격자가 옥타의 ‘워크포스 아이덴티티 솔루션즈(Workforce Identity Solutions)’를 익스플로잇 하기라도 했다면 각 고객사의 관리자가 될 수도 있습니다.”

그 다음으로 분명히 해야 할 건 랩서스가 옥타의 소프트웨어 개발 환경에 접근했느냐라고 슬라빈은 손가락을 꼽는다. “일단 스크린샷만 보면 지라 티켓으로 보이는 이미지들이 존재합니다. 지라에는 대단히 민감한 정보가 저장되어 있기도 한데요, 만약 공격자들이 이 정보를 취했다면 네트워크 내에서 횡적으로 움직이는 것도 가능합니다. 랩서스가 여기까지도 성공했다면 앞으로 더 큰 피해를 고객사들에 입힐 수 있습니다. 심지어 옥타의 코드를 조작할 수도 있었을 겁니다.”

지난 2개월 동안 랩서스는 엔비디아, 삼성, 유비소프트, 보다폰 등의 기업들로부터 훔친 데이터라며 일부 내용을 텔레그램 채널을 통해 공개해 왔다. 하지만 이 모든 해킹 사고들이 옥타 해킹으로부터 비롯된 것인지는 아직 다 확인되지 않고 있다. 심지어 피해 기업들이 옥타의 고객사인지도 아직 확실히 알 수 없는 상황이다. 현재까지 밝혀진 바 랩서스의 주요 침투 기술 중에는 실제 직원들을 돈으로 매수하는 것도 있는 것으로 알려져 있다.

한편 마이크로소프트와 관련된 이미지들을 분석했을 때 랩서스 공격자들은 마이크로소프트의 내부 애저 데브옵스 환경에 접근하는 데 성공한 것으로 보인다. 이 환경에서 마이크로소프트 내부 개발자들은 소스코드를 관리한다고 드머카피는 설명했다. “이를 통해 랩서스는 마이크로소프트의 소스코드에 접근할 수 있었던 것으로 보이며, 랩서스 스스로도 이를 자랑했습니다. 다만 그것이 모든 소프트웨어의 소스코드는 아니며, 빙과 빙 맵스, 코타나만 피해를 입은 것으로 조사되고 있습니다.

3줄 요약

1. 요 몇 달 동안 두드러진 활동을 펼치고 있는 랜섬웨어 그룹, 랩서스.

2. 옥타와 마이크로소프트에서도 데이터를 훔쳐낸 것으로 보임.

3. 옥타의 경우 많은 고객사를 두고 있기 때문에 특별히 더 위험한 사건일 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=105625&page=2&mkind=1&kind=1)]