헤로쿠라는 업체가 오오스 토큰을 도난당했다. 그렇게 됨으로써 헤로쿠 내부 데이터베이스에 대한 접근과 다운로드까지 진행했다고 한다. 조사가 더 진행됐고, 그 결과 헤로쿠 고객사의 민감한 크리덴셜에까지 마수가 뻗쳤다는 사실이 드러났다.

[보안뉴스 문가용 기자] 세일즈포스(Salesforce)의 자회사인 헤로쿠(Heroku)가 최근 발생한 오오스(OAuth) 토큰 관련 사건에 대한 추가 사실을 발표했다. 지난 4월 사이버 공격자들이 헤로쿠의 깃허브 통합용 오오스 토큰을 훔쳤고, 이를 통해 헤로쿠 고객사의 일부 내부 정보에 접근한 사건에 대한 내용이다.

​

[이미지 = utoimage]

이 사건으로 헤로쿠는 모든 사용자들의 비밀번호와 내부 직원용 크리덴셜을 리셋해야만 했다. 또한 미래에 발생할 문제들을 대비하는 차원에서 추가 탐지 기술도 도입했다고 한다. 하지만 그 기술이 무엇인지는 구체적으로 밝히지 않고 있다. “이번 사건을 해결하는 것뿐만 아니라 사건 재발까지 방지하기 위해 여러 파트너사들은 물론 사법 기관들과 협조 체계를 이뤄 여러 면으로 애쓰고 있습니다.”

무슨 사건이 있었나?

4월 13일 깃허브는 헤로쿠의 비밀 깃허브 리포지터리에서 해커들의 불법 다운로드 행위가 발견되었다고 알렸다. 여기에는 각종 소스코드도 포함되어 있었다. 추적을 해 보니 공격자들은 헤로쿠 앞으로 발행된 오오스 토큰들에 접근할 수 있었고, 이를 활용해 고객 계정들에 별 다른 어려움 없이 접속하던 것을 알게 되었다. 헤로쿠에 의하면 해당 토큰들을 통해 공격자들은 헤로쿠 고객들의 비밀 깃허브 리포지터리에 읽기와 쓰기 모두를 할 수 있었다고 한다.

4월 15일 깃허브의 CSO인 마이크 핸리(Mike Hanley)는 공격자들이 헤로쿠만이 아니라 다른 서드파티 통합자인 트래비스CI(Travis-CI)의 오오스 사용자 토큰 역시 악용했다고 발표했다. 그리고 헤로쿠에서와 마찬가지로 트래비스CI 고객 리포지터리의 데이터를 다운로드 했음이 밝혀졌다고도 설명했다. 

핸리에 의하면 이번에 공격자들이 훔쳐간 데이터 중에는, 공격자가 악용할 경우 다른 인프라를 겨냥한 공격을 가능하게 만들어 주는 것들도 섞여 있었다고 한다. 이 사건은 고도의 표적 공격의 일환으로 보이는데, 이는 공격자들의 오오스 활용 방식 때문이다. “공격자들은 제일 먼저 자신들이 훔친 오오스와 관련이 있는 모든 기업들을 목록화 했습니다. 그런 다음 일부 리포지터리를 추린 후에 그것만 공격했습니다.”

공격자가 헤로쿠의 데이터베이스에 접근하게 된 건 4월 7일의 일인 것으로 밝혀졌다. 이 때 공격자들은 저장된 토큰들은 다운로드 받았고, 이틀 후인 4월 9일 헤로쿠 고객들의 데이터베이스를 다운로드 받았다. 이 때문에 헤로쿠는 모든 관련 크리덴셜을 리셋한 것이라고 한다. 

그것으로 끝이 아니었다

그리고 헤로쿠는 이번 주 “계속된 조사를 통해 공격자들이 오오스 토큰을 가지고 해시 처리 된 사용자 이름과 비밀번호에까지도 접근한 것을 알아냈다”고 발표했다. 이 사용자 이름과 비밀번호 정보들은 전부 헤로크 고객사들의 것이었다. 즉 데이터베이스만 가져간 게 아니었다는 뜻이다.

보안 전문가들은 이 사건을 두고 “오오스 인증 관련 장치 및 시스템에 대한 관심의 끈을 놓지 말아야 하는 이유”라고 말한다. 보안 업체 블루브래킷(BlueBracket)의 제품 부문 수장인 케이시 비손(Casey Bisson)은 “오오스 토큰 통합 기술을 통해 서비스를 안전하게 제공하는 것이 본래의 목적인데, 토큰이 도난당하면 서비스와 연결된 각종 데이터에까지 공격자의 손길이 미칠 수 있다”고 경고했다.

“서비스와 서비스 간에 같은 데이터를 공유해야 할 때가 많습니다. 그럴 때 서비스 제공자들은 서로 비밀번호를 공유할 수도 있습니다만 이는 꽤나 위험한 방법입니다. 그래서 나온 게 오오스 토큰 같은 기술들이죠. 보다 안전하게, 비밀번호 공유 없이 데이터를 같이 사용하게 해 주는 기술이라고 볼 수 있습니다. 다시 말해 오오스 토큰이 도난당했다는 건 비밀번호가 도난당한 것과 같습니다.” 비손의 설명이다.

NTT애플리케이션시큐리티(NTT Application Security)의 협력 파트너인 레이 켈리(Ray Kelly)는 “오오스 토큰들은 보통 코드 리포지터리나 데브옵스 파이프라인과 같은 클라우드 서비스의 자동화에 자주 사용된다”고 설명한다. “혹은 이 토큰을 가지고 멀웨어를 퍼트리거나 민감한 데이터를 훔치는 것도 가능하죠. 이런 토큰들에 특별한 주의를 기울여야 하는 건 당연한 일입니다. 절대로 외부로 공개되어서도, 아무렇게나 공유되어서도 안 되는 요소입니다.”

한편 깃허브는 2023년 말부터 깃허브에 코드를 공유하는 모든 개발자들이 다중 인증 기능으로 계정을 보호할 것을 강제할 예정이다. 깃허브 리포지터리에 저장된 수많은 지적재산을 최근 급증하고 있는 리포지터리 대상 공격으로부터 보호하기 위해서라고 한다. 

3줄 요약

1. 최근 어떤 공격자들이 헤로쿠의 오오스 토큰 훔쳐 고객들의 데이터베이스 다운로드 함.

2. 조사를 더한 결과 데이터베이스만이 아니라 해시 처리된 고객 크리덴셜들까지도 가져간 것으로 밝혀짐.

3. 오오스 토큰이 사라진다는 건 굉장히 민감할 수 있는 데이터에 대한 비밀번호 정보가 도난당한 것과 마찬가지.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=106582&page=1&mkind=1&kind=1)]​