 |
| 최근 IT 뉴스에서 계속 등장하는 이름이 있습니다. 바로 남미 기반 해커 조직 “랩서스(LAPSUS$)”인데요. 엔비디아, 마이크로소프트, 삼성전자 등 글로벌 빅테크 기업을 연달아 해킹해 소스 코드를 유출했다고 주장하고 있습니다. 텔레그램에서 해킹 정보를 공유하고, 다음 해킹할 곳에 대한 설문조사를 진행하는 것이 특징이죠. 랜섬웨어를 설치하는 게 아니라 데이터를 삭제하며 상대를 압박하는 것도 독특합니다. 브라질 보건부의 AWS에서 데이터를 삭제하고, Sitel의 Azure 인프라를 손상시키는 등 클라우드 인프라를 건드리는 방식도 종종 보입니다.랩서스의 주요 해킹 및 유출 사례를 시간순으로 정리하면 다음과 같습니다. |
| 랩서스는 어떻게 글로벌 빅테크 기업을 줄줄이 해킹했나? “안 쓰는 계정 삽니다!”
공격자의 TTP(Tactics-Techniques-
[텔레그램 광고 – 계정삽니다]
[헬프데스크로 전화 – 비번 잊어버렸어요] 전화를 활용하는 것도 독특한데요. 영어가 모국어인 사람을 섭외해 비밀번호를 잊어버렸다고 헬프데스크에 전화를 걸기도 했습니다. 진짜 직원인지 확인하려고 다시 물으면 유출한 개인 정보를 대답해 신뢰를 얻었습니다. 대부분 헬프데스크는 외주를 주기 때문에 이런 방식이 유용했다고 하네요.
[SIM 스와핑 공격 – MFA가 안 돼요] 요즘 다중인증(MFA: Multi-Factor Authentication)이 대세인데요. 사이트 로그인할 때 휴대전화로 패스워드를 보내서 그걸 입력하거나, 휴대전화 생체인증으로 로그인해보신 적 있으시죠? 두 가지 이상의 팩터를 이용하기 때문에 해킹이 어려워 도입이 늘고 있습니다. 랩서스는 스마트폰 유심칩을 복제하거나 바꿔치기하는 심스와핑 공격으로 MFA를 우회했습니다. 이렇게 다양한 방식으로 액세스를 얻고 나면, 액세스를 확장하기 위해 JIRA, Gitlab, Confluence, 슬랙, 팀즈를 검색하고 더 높은 권한의 계정을 찾아냈죠. 클라우드 자산에 대한 액세스를 얻으면, 클라우드에 글로벌 관리자 계정을 만들고, 추가 공격을 수행하기 위한 인프라로 활용합니다. |
 |
| 랩서스의 전술을 살펴보면 공통점이 있습니다. 인증된 계정을 확보하기 위해 노력한 것인데요. 내부망으로 들어가기만 하면 협업용 메신저나, 공용 계정을 적어놓은 스프레드 시트 등을 뒤져서 계속해서 더 높은 권한의 계정을 확보해 나갑니다.버라이즌의 ‘2021 데이터 침해 사고 조사 보고서’에 서는 보안사고의 85%가 사람과 관련된 요인이라고 합니다. 인적 요인으로 인해 침해가 발생하면 도대체 누구에게 책임이 있는 걸까요?Styra의 “2022 Cloud-Native Alignment Report“에서 350명의 IT 의사결정권자와 350명의 개발자를 대상으로 한 설문 조사에 따르면 클라우드 보안 책임에 대한 인식차가 보입니다.의사결정권자의 45%는 인프라 운영팀에 클라우드 보안 책임이 있다고 생각하고 개발자는 21%만 인프라 운영팀에 책임이 있다고 생각합니다.클라우드 네이티브 보안은 인프라 운영팀, 개발팀, 보안팀, 법무팀, 외부 감사 등 다양한 이해 관계자가 함께 만들어 가야 하는 상황입니다.’아무도 신뢰하지 않는다’는 ‘제로 트러스트(zero trust)’ 원칙을 전제로 보안 전략을 새로 짜는 것이 최근의 트렌드이기도 하고요.베스픽은 앞으로 4월 한 달 동안 클라우드 네이티브 보안과 관련된 다양한 소식을 꼼꼼하게 담아 보내드리겠습니다. 혹시 클라우드 네이티브 보안 관련 궁금하신 것이나 다뤄줬으면 하는 주제가 있으면 여기에 간단하게 남겨주셔도 좋습니다.[무료 진단] 우리 회사 클라우드 보안 점수는 몇 점? 클라우드 보안 정책 가이드가 필요하다면?[한주의 돈되는 SaaS] 보안 대장주 F5? |