본문 바로가기 주메뉴 바로가기 검색 바로가기
트윌리오 보안 침해, 피해 수준 심각한 이유
상태바
트윌리오 보안 침해, 피해 수준 심각한 이유
SMS 대기업 트윌리오를 겨냥한 피싱 공격은 B2B 기업의 위험성을 테크 생태계 전체에 드러냈다.
By LILY HAY NEWMAN, WIRED UK

2022년 8월 초, 통신 기업 트윌리오(Twilio)가 보안 침입 공격을 겪어, 고객사 163곳이 피해를 보았다고 밝혔다. 트윌리오의 고객사 총 27만 곳 중 보안 침입 공격의 영향을 받은 곳의 비율은 단 0.06%로 극소수에 불과한 듯하다. 그러나 디지털 생태계에서 트윌리오의 특별한 역할을 생각하면, 극소수 고객사가 피해를 보았으나 그 피해 규모와 영향력이 매우 크다는 사실을 의미한다. 트윌리오의 보안 침입 공격으로 2차 피해를 본 주요 고객사 중에는 보안 메시지 앱 시그널(Signal)과 2단계 인증 앱 오티(Authy)와 인증 기업 옥타(Okta) 등이 있다.

트윌리오는 자동 통화와 텍스트 전송 서비스를 지원하는 기업을 통해 애플리케이션 프로그래밍 인터페이스를 제공한다. 이발사가 고객에게 머리를 자르도록 상기시켜주고는 ‘확인’ 혹은 ‘취소’로 답장을 보내도록 하고자 사용하는 시스템과 같다고 비유할 수 있다. 그러나 여러 기관이 2단계 인증을 위해 일회성 인증 코드를 전송하는 문자 시스템을 관리하는 플랫폼과 같다고 볼 수도 있다. SMS가 인증 코드를 전송하기에는 보안이 부족한 방식이라고 알려졌으나 어떠한 수단도 사용하지 않는 것보다는 나으며, 기관은 SMS를 2단계 인증 코드 전송 수단으로 사용하는 관행을 중단하지 않았다. 인증 코드 생성 앱을 핵심 상품으로 제공하는 오티와 같은 기업도 트윌리오의 일부 서비스를 사용한다.

옥타퍼스(0ktapus), 스캐터 스와인(Scatter Swine) 등으로 알려진 해커 세력의 소행인 트윌리오 해킹이 심각한 이유는 크게 두 가지이다. 그 첫 번째 이유는 피싱 공격 수법이 피해 기관 네트워크의 귀중한 정보 접근 권한을 손에 넣을 수 있다는 점이다. 두 번째 이유는 해커 세력이 한 기업의 시스템에 접근한 뒤 여러 고객사의 네트워크까지 접근할 수 있는 경로까지 제공하는 공급망 공격의 시작이 될 수 있기 때문이다.

현재 근무 중인 기업이 트윌리오의 협력사라는 이유로 익명을 요청한 어느 한 보안 엔지니어는 “트윌리오 해킹 사태는 역사상 더 오래 발생할 교묘한 해킹 수법으로 이어질 것이라고 본다. 대규모 집단을 공격 표적으로 삼았으나 광범위한 피해로 이어진 오랜 시간 동안 꾸준히 진행한 해킹 공격 사례이다. 다중 인증 방식의 보안을 무력화한 뒤 전 세계 보안까지 무력화했다”라고 말했다.

트윌리오를 공격한 해커 세력은 130여 개 기업을 겨냥해, 대규모이면서도 피해 기관에 맞춤화된 피싱 공격을 개시했다. 해커 세력은 공격 과정에 공격 대상이 된 기업 직원에게 피싱 SMS 문자를 보냈다. 피싱 문자는 주로 수신자의 근무 기업 IT 부서나 운송팀으로 위장한 채로 문자에 포함된 링크를 클릭한 뒤 패스워드 업데이트나 일정 변경 검토를 위한 로그인을 촉구한다. 트윌리오 측은 해커 세력이 전송한 악성 URL이 ‘트윌리오’, ‘옥타’, ‘SSO’와 같은 단어를 포함해, 수신자의 연결을 유도하는 URL과 악성 페이지가 실제 페이지처럼 보이도록 조작했다고 설명했다. 또, 해커 세력은 인터넷 인프라 기업 클라우드페어(Cloudflare)도 공격 대상으로 지정했으나 클라우드페어 측은 직원의 접근 권한과 물리적 인증 키를 이용한 로그인으로 제한한 덕분에 보안 공격 피해가 발생하지 않았다고 밝혔다.
 
[사진=Freepik]
[사진=Freepik]

전직 미국 연방수사국(FBI) 디지털 행동 애널리스트 출신인 보안 기업 애브노멀 시큐리티(Abnormal Security) 위협 정보국장 크레인 하솔드(Crane Hassold)는 “트윌리오 보안 침입 공격의 핵심은 이메일 대신 SMS를 초기 공격 벡터로 동원했다는 점이다. 초기 공격 수단으로 이메일 대신 텍스트 메시지 경고로 변경하는 해커 조직이 증가하는 추세임을 관측했다. 갈수록 많은 조직이 텍스트 메시지 경고를 보편적으로 사용하기 때문이다. 앞으로 텍스트 메시지를 초기 공격 지점으로 악용한 피싱 메시지가 심각한 피해를 일으키는 사례가 증가할 것으로 본다. 한 가지 이야기를 전하자면, 개인적으로 언제든지 여러 협력사가 보낸 텍스트 메시지를 받는다. 불과 1년 전에는 협력사가 보낸 문자를 받은 사례가 많지 않았다”라고 설명했다.

해커 세력은 트윌리오 접근 권한을 악용해 오티 앱 계정 93개의 보안을 침입하고, 해커 세력이 계정 주인 대신 제어할 수 있는 추가 기기 인증을 완료했다. 오티의 전체 사용자 수는 약 7,500만 명이다. 반면, 트윌리오 해킹 사태로 시그널 계정 약 1,900개가 유출되었을 위험성이 있다. 해커 세력이 최대 3개 계정을 초기 통제 권한 확보 접근 수단으로 이용한 것으로 추정된다. 시그널의 설계 특성 때문에 해커 세력이 사용자의 수신 및 전송 메시지 이력이나 연락처 목록에 접근할 수는 없어도 사용자를 사칭한 채로 메시지를 전송하는 동시에 계정을 관리할 수 있었다.

8월 25일(현지 시각), 온라인 음식 배송 서비스 도어대시(DoorDash)는 내부 시스템과 사용자 데이터 일부가 보안 공격을 받았다고 밝혔다. 서드파티 서비스 공급사 여러 곳의 보안 공격 피해가 공격 원인이라고 덧붙여 전했다. 도어대시는 공식 성명문을 통해 “도어대시 자체 조사 결과, 도어대시의 서비스 공급사가 교묘한 피싱 공격 피해를 받았다는 사실을 확인했다. 공식 인증 권한이 없는 기관이 공급사 직원의 탈취된 신원 정보를 이용해, 도어대시의 일부 내부 시스템 툴에 접근했다”라고 발표했다. 8월 초, 마케팅 자동화 플랫폼 메일침프(Mailchimp)는 자사 시스템과 직원이 피싱 공격으로 보안 침입 피해를 겪었다고 밝혔다.

사이버 보안 기업 그룹-IB(Group-IB)는 8월 25일 자 보고서를 통해 피싱 공격 피해 발생이 의심스러운 136개 기업에 발견 내용과 피해 의심 사실을 알렸다. 피해 의심 기관 중 114개 기업은 미국 기업으로 확인됐다. 그룹-IB 관계자는 피싱 공격 대상이 된 기업 중 상당수가 클라우드 서비스 기업이나 소프트웨어 개발사, IT 관리 기업이라는 점을 발견했다. 그룹-IB의 발견 내용은 철저한 계획과 공격 대상 지정이라는 특성을 갖춘 듯한 피싱 공격이 피해 여파 최대화를 위해 대기업의 로그인 인증 구성요소를 포함한 중요한 요소를 지원하는 인터넷 인프라와 비즈니스 관리 서비스 기업에 집중했다는 부분을 강조한다.

트윌리오는 8월 10일 자 업데이트 보고서에 “이번 피싱 공격 피해 발생 사실에 실망스럽기도 하고, 분노를 느끼기도 한다. 신뢰는 트윌리오가 중요하게 여기는 가치이다. 트윌리오는 자사 시스템과 네트워크 보안이 고객사의 신뢰 유지를 위한 중요한 요소임을 인식했다”라고 작성했다.

피싱 공격은 지난 몇 년간 변함없이 심각한 여파를 일으킬 위협이 되면서 세계 각국의 심각한 보안 침입 여파 발생의 중요한 역할을 했다. 대표적인 사례로 2016년, 러시아가 미국 민주당 전국 위원회 본부 시스템을 공격한 사례를 언급할 수 있다. 만약, 다음 공격 추세가 피싱 수법이 촉발한 공급망 공격이 된다면, 자산 피해가 유례없는 수준으로 커질 것이다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Why the Twilio Breach Cuts So Deep
이 기사를 공유합니다
RECOMMENDED