MS, 엔비디아도 줄줄이 당한 해킹 전술 완벽 분석, 솔루션은?

이 이미지는 대체 속성이 비어있습니다. 그 파일 이름은 img_news_01_blog.png입니다
당신의 클라우드 원픽 뉴스레터, 베스픽입니다 🙂
매주 새로운 소식으로 찾아뵙겠습니다.

👍 베스픽의 원픽

MS, 엔비디아도 줄줄이 당한 해킹 전술 완벽 분석, 솔루션은?

최근 IT 뉴스에서 계속 등장하는 이름이 있습니다. 바로 남미 기반 해커 조직 “랩서스(LAPSUS$)”인데요.
엔비디아, 마이크로소프트 등 글로벌 빅테크 기업을 연달아 해킹해 소스코드를 유출했다고 주장하고 있습니다.

텔레그램에서 해킹 정보를 공유하고, 다음 해킹할 곳에 대한 설문조사를 진행하는 것이 특징이죠. 랜섬웨어를 설치하는 게 아니라 데이터를 삭제하며 상대를 압박하는 것도 독특합니다.
브라질 보건부의 AWS에서 데이터를 삭제하고, Sitel의 Azure 인프라를 손상시키는 등 클라우드 인프라를 건드리는 방식도 종종 보입니다

랩서스의 주요 해킹 및 유출 사례를 시간순으로 정리하면 다음과 같습니다.

  • 21/12/10 브라질 보건부
    – AWS에 액세스해 데이터 50TB 삭제, 홈페이지 변조
  • 22/2/23 엔비디아
    – 7만 1천개 이상 직원 이메일 주소, NTLM 암호 해시 등 1TB
  • 3/11 유비소프트
    – 일부 게임, 시스템, 서비스 일시 중단
  • 3/14 LG전자
    – 직원 및 서비스 계정 모든 해시 포함된 약 9만건의 덤프 파일
  • 3/20 마이크로소프트
    – Bing, Bing Maps, Cortana 소스코드

랩서스는 어떻게 글로벌 빅테크 기업을 줄줄이 해킹했나? “안 쓰는 계정 삽니다!” 👋

공격자의 TTP(Tactics-Techniques-Procedure, 전술-기술-절차)를 분석하는 것은 중요합니다. 공격이 일어나기에 앞서 공격 발생 가능성을 낮추는 시스템을 구축하고 공유해야 하기 때문이죠. 

[💰 텔레그램 광고 – 계정삽니다]
​​​​​​
랩서스의 TTP를 분석한 문서들이 나오고 있습니다. 마이크로소프트 보안팀에 따르면 이들이 텔레그램을 적극 활용하는 이유는 다음 타깃을 알리면서 내부 직원이나 협력업체 직원에게서 계정을 사겠다고 광고하기 위함입니다. 

​​​[📞 헬프데스크로 전화 – 비번 잊어버렸어요

전화를 활용하는 것도 독특한데요. 영어가 모국어인 사람을 섭외해 비밀번호를 잊어버렸다고 헬프데스크에 전화를 걸기도 했습니다. 진짜 직원인지 확인하려고 다시 물으면 유출한 개인 정보를 대답해 신뢰를 얻었습니다. 대부분 헬프데스크는 외주를 주기 때문에 이런 방식이 유용했다고 하네요.

[😱 SIM 스와핑 공격 – MFA가 안 돼요]

요즘 다중인증(MFA: Multi-Factor Authentication)이 대세인데요. 사이트 로그인할 때 휴대전화로 패스워드를 보내서 그걸 입력하거나, 휴대전화 생체인증으로 로그인해보신 적 있으시죠? 두 가지 이상의 팩터를 이용하기 때문에 해킹이 어려워 도입이 늘고 있습니다.

랩서스는 스마트폰 유심칩을 복제하거나 바꿔치기하는 심스와핑 공격으로 MFA를 우회했습니다.

이렇게 다양한 방식으로 액세스를 얻고 나면, 액세스를 확장하기 위해 JIRA, Gitlab, Confluence, 슬랙, 팀즈를 검색하고 더 높은 권한의 계정을 찾아냈죠. 

클라우드 자산에 대한 액세스를 얻으면, 클라우드에 글로벌 관리자 계정을 만들고, 추가 공격을 수행하기 위한 인프라로 활용합니다.

랩서스의 전술을 살펴보면 공통점이 있습니다. 인증된 계정을 확보하기 위해 노력한 것인데요.
​​​​​내부망으로 들어가기만 하면 협업용 메신저나, 공용 계정을 적어놓은 스프레드 시트 등을 뒤져서 계속해서 더 높은 권한의 계정을 확보해 나갑니다.

버라이즌의 ‘2021 데이터 침해 사고 조사 보고서’에 서는 보안사고의 85%가 사람과 관련된 요인이라고 합니다. 
인적 요인으로 인해 침해가 발생하면 도대체 누구에게 책임이 있는 걸까요?

Styra의 “2022 Cloud-Native Alignment Report“에서 350명의 IT 의사결정권자와 350명의 개발자를 대상으로 한 설문 조사에 따르면 클라우드 보안 책임에 대한 인식차가 보입니다. 

의사결정권자의 45%는 인프라 운영팀에 클라우드 보안 책임이 있다고 생각하고
개발자는 21%만 인프라 운영팀에 책임이 있다고 생각합니다.

클라우드 네이티브 보안은 인프라 운영팀, 개발팀, 보안팀, 법무팀, 외부 감사 등 다양한 이해 관계자가 함께 만들어 가야 하는 상황입니다.

‘아무도 신뢰하지 않는다’는 ‘제로 트러스트(zero trust)’ 원칙을 전제로 보안 전략을 새로 짜는 것이 최근의 트렌드이기도 하고요.

베스픽은 앞으로 한 달 동안 클라우드 네이티브 보안과 관련된 다양한 소식을 꼼꼼하게 담아 보내드리겠습니다.
혹시 클라우드 네이티브 보안 관련 궁금하신 것이나 다뤄줬으면 하는 주제가 있으면 여기에 간단하게 남겨주셔도 좋습니다.

👉 클라우드 보안 정책 가이드가 필요하다면?

👉 [한주의 돈되는 SaaS] 보안 대장주 F5? 💰딱 이거 5개로 정리한다


📰 안보면 클나우

AWS, “근로자 85% 디지털 교육 필요”… 교육시 개인 및 직업 만족도 상승 더보기
AWS 조사 결과, 향후 1년간 국내 근로자 1000만명이 디지털 역량을 필요로 하는 것에 비해 정작 교육 계획을 완전히 이행한 곳은 전체 25%에 불과한 것으로 드러났습니다.

EU, IT 대기업 규제 위한 디지털 시장법 도입… 위반시 글로벌 매출 10% 벌금​​​​​ ​​​​​​ 더보기
유럽연합에서 디지털 시장법 제정에 합의했습니다. 美 구글, 메타, 애플 등 시가 총액 100조원 이상 기업이 주 대상으로 자사 앱 선탑재 및 우선 노출 등을 강경 규제하는 내용입니다.

기업의 60%, “사이버 보안 전문 인력 고용 어렵다” 응답… 전년보다 7% 증가 더보기
빅테크 기업들의 해킹 이슈 등으로 사이버 보안이 화두인 가운데, 보안 인력 유지가 기업들의 골칫거리가 되고 있습니다. 2021년 보안 인력이 전 세계 기준 70만 명이나 증대되었음에도 인력 부족은 여전합니다.

구글 인앱결제 정책 변경→ 콘텐츠 가격 줄줄이 인상 예고 더보기
구글의 인앱결제 정책 적용에 따라 웨이브, 티빙, 시즌 등이 줄줄이 안드로이드 앱 내 이용권 가격을 인상한다고 밝혔습니다. 방통위는 유권해석 절차 중으로 조만간 관련 입장을 내놓을 예정입니다.


☁️ 안쓰면 클나우

SaaS 로켓에 올라타고 싶다면?

2월 한 달 동안 베스픽에서 전해드린 SaaS 전환 시리즈, 잘 읽어보셨나요?

SaaS 전환 성공 사례들을 더 자세히 살펴볼 수 있도록 백서를 준비했습니다. 클라우드와 SaaS를 통해 기업 가치를 높인 3개 기업의 케이스 분석과 인사이트를 살펴보세요. SaaS 전환을 추진할 때 꼭 고려해야 할 팁들도 한번 더 정리해드립니다.


클라우드 도입 사례, 관리와 비용 절감을 위한 팁은 물론 국내외 IT 업계 소식까지
당신의 클라우드 원픽 뉴스레터 베스픽에서 만나보세요.
뉴스레터를 구독하시면 매주 화요일, 가장 먼저 베스픽을 받아볼 수 있습니다 🙂

Leave a Comment