9월 15일 저녁(현지 시각), 차량 공유 서비스 업계 대기업 우버가 사이버 보안 사건에 대응 중이며, 문제 대응을 위해 법률 집행 기관에 연락했다고 밝혔다. 우버 해킹 공격을 개시했다고 주장한 18세 단독 해킹범은 보안 전문가 여러 명에게 우버 해킹 당시 택한 행동 단계를 과시했다. 해킹범은 9월 15일 밤, 우버의 슬랙 채널에 “안녕하십니까. 내가 바로 우버의 데이터 보안 피해를 일으킨 해커임을 밝힌다”라는 글을 게재한 것으로 알려졌다. 해당 게시글은 우버의 해커가 공격했다고 주장하는 데이터베이스와 클라우드 서비스도 다수 나열되었다. 해당 게시글의 마무리 부분에는 “우버가 운전기사에게 지급하는 임금이 너무 적다”라는 서명이 포함되었다.
우버 해킹 피해를 최초로 보도한 뉴욕타임스 기사에 따르면, 우버는 9월 15일 저녁, 자사 슬랙 채널과 사내 서비스 접근을 일시 중단했다. 9월 16일 낮, 우버는 “전날 보안 경고 위험 이후 내부 소프트웨어 툴을 일시적으로 차단한 뒤 온라인 접속을 정상화했다”라는 안내 글을 게재했다. 기존 사이버 공격 공지 사항에 표현한 바와 같이 우버는 해킹 발생 다음 날 “이동 기록 등 민감한 사용자 데이터 접근이 포함된 공격이 발생했다는 증거는 없다”라고 안내했다. 하지만 해커가 직접 공개한 스크린샷은 해커가 한정적인 기회 발생 시에만 우버 데이터에 접근한 것이 아닐 가능성을 시사한다.
전략 보안 엔지니어인 세드릭 오웬스(Cedric Owens)는 해커가 우버 해킹 시 이용한 피싱 및 소셜 엔지니어링에 대해 “이번 사이버 공격 발생 소식은 매우 실망스러운 일이다. 우버 이외에 다른 기업도 같은 방식으로 사이버 공격 피해를 겪을 수 있다. 해커가 주장한 공격 수법은 지금까지 무수히 많은 사이버 보안 전문가가 경고한 과거의 공격 수법과 상당히 비슷하다. 따라서 안타깝게도 이번 사이버 보안 피해 유형은 전혀 놀라운 일이 아니다”라고 설명했다.
와이어드의 연락에 답장하지 않은 해커는 직원 개인을 공격 표적으로 삼은 뒤 우버 시스템 접근 권한을 처음 손에 넣고, 여러 차례 다중 인증 로그인 알림을 전송했다고 주장했다. 그리고 몇 시간 뒤에는 우버 IT 부서 직원으로 위장한 채로 초기 공격 대상으로 삼은 우버 직원이 로그인한 뒤 해당 직원에게 다중 인증 로그인 알림 중단 사실을 알리는 왓츠앱 메시지를 전송했다.
간혹 ‘다중 인중 로그인 피로’ 혹은 고갈 공격 수법으로 알려진 우버 해킹 공격 수법은 계정 주인이 임의 생성 코드 등 다른 수단을 이용하지 않고, 푸시 알림만을 이용해 즉시 로그인을 승인하는 과정을 악용한다. 다중 인증 로그인 명령 피싱은 해커 세력이 갈수록 자주 이용하는 수법 중 하나이다. 해커 세력은 일반적으로 갈수록 더 많은 기업이 채택하는 2단계 인증 전략을 우회한 피싱 공격을 개발한다. 최근, 통신 프로그램 개발사 트윌리오(Twilio)의 사이버 공격 피해 사례는 기업이 보안 수준이 취약한 2단계 인증 서비스를 제공할 때의 여파가 얼마나 심각한지 보여준다. 로그인 과정에 물리적 인증 키를 요구하는 기업은 원격 소셜 엔지니어링 공격 예방에 성공했다.
[사진=Unsplash]
아무것도 신뢰하지 않는 ‘제로 트러스트(zero trust)’ 단계는 간혹 보안 업계에서 무의미한 유행어가 된다. 그러나 우버 해킹 사태는 적어도 제로 트러스트를 채택하지 않은 사례를 보여준다. 해커 세력이 기업 내부 시스템에 처음 접근한 뒤 마이크로소프트 자동화 스크립트와 관리 프로그램인 파워셸(Powershell)을 포함한 사내 네트워크로 공유한 자원에 접근할 수 있다. 이후 해커는 하드코드가 적용된 관리 시스템 타이코틱(Thycotic)의 관리자 계정 민감 정보를 포함한 스크립트를 발견했다. 해커는 관리자 계정을 제어하면서 아마존 웹 서비스(Amazon Web Services)와 구글 지수트(GSuite), VM웨어 vSphere 대시보드, 인증 관리 프로그램 듀오(Duo), 중요한 신원 및 접근 관리 서비스 원로그인(OneLogin) 등 우버 클라우드 인프라 접근 시 사용할 토큰을 손에 넣었다.
해커가 공개한 스크린샷은 원로그인 등 우버의 핵심 시스템까지 접근했다는 주장을 뒷받침한다. 사이버 보안 그룹 IB 소속 연구팀은 9월 16일 자로 공개된 분석 보고서를 통해 해커가 9월 12일께 우버 시스템에 처음 접근한 뒤 15일에 공격을 개시했다고 주장했다.
어느 한 개인 보안 엔지니어는 우버 해커가 접근한 원로그인 계정이 시스템의 중요한 부분까지 접근할 절호의 기회를 제공했다고 설명했다.
해당 보안 엔지니어는 “해커는 우버의 시스템 무엇이든 접근할 중요한 권한을 손에 넣었다. 해커에게는 환상의 접근 권한이자 원하는 것을 무엇이든 한꺼번에 얻을 수 있는 중요한 권한이었다. 그러나 사용자의 탑승 데이터에 접근하지 않은 것은 확실하다. 사용자 정보는 괜찮다”라고 말했다.
이번 우버 해킹 사태는 트위터 최고 보안 관리자 출신인 내부고발자 피터 머지 자트코(Peiter “Mudge” Zatko)가 트위터 내부 보안 관행의 심각성을 밝힌 의회 청문회 직후 발생했다. 자트코의 증언은 미 의회 상원 의원 사이에서 테크 업계 대기업 보안의 중요성을 강조하게 된 분노를 자극했다. 하지만 과거, 가장 심각하게 기승을 부린 해킹 공격 사태에 발생 이후에도 가장 기본적인 관행 증가로만 이어졌다. 자트코의 청문회 증언은 트위터 주가에 영향을 미치지 않았다. 9월 16일, 우버의 주가는 소폭 하락했으나 장 마감 직전 어느 정도 회복세를 기록했다.
현재 우버 해킹 이후 내부 전체 상황은 정확히 알려지지 않았다.
오웬스는 “우버가 해킹 발생 위험성을 감지하고 예방할 기회가 많았을 것으로 생각한다. 하지만 제거해야 할 위험성이 매우 많은 데다가 조직 내부의 정치적 변화 등과 같은 상황 속에서는 실질적으로 제대로 된 대응을 하기 어렵다. 내가 한동안 보안 업계에서 활동했다는 점에서 개인적으로 더 예리하게 상황을 분석하지 못한 것일 수도 있다”라고 전했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202209/4221_5605_3645.jpg)
뉴스레터 신청