네트워크 보안은 가장 취약한 연결 고리만큼만 강력합니다.
인기 표백제 브랜드 클로록스(Clorox)가 자사의 IT 서비스 제공 업체인 코기넌트(Cognizant)를 상대로 소송을 제기했습니다. 클로록스는 코기넌트가 직원으로 위장한 해커들에게 단순히 접근 인증 정보(access credentials)를 넘겨준 사실을 발견했기 때문입니다. NBC 뉴스 보도에 따르면, 이번 보안 침해 사건을 통해 회사 서비스 데스크를 표적으로 삼는 해킹 그룹 스캐터드 스파이더(Scattered Spider)가 2023년 8월 클로록스에 랜섬웨어를 감염시키는 데 성공했습니다. 이 IT 지원상의 실수가 클로록스에 약 3억 8천만 달러 상당의 피해와 운영 차질을 야기한 것으로 알려졌습니다.
코기넌트는 클로록스의 내부 네트워크를 관리하고 있으며, 직원들이 비밀번호, 다요소 인증(MFA) 코드, VPN 사용 등에 문제가 생겨 시스템에 재접속해야 할 경우 IT 서비스 제공업체와 협력해야 합니다. 하지만 클로록스 측은 코기넌트 서비스 데스크가 발신자의 신원을 확인하는 절차를 거치지 않고 접근 비밀번호를 제공했다고 주장합니다. 이러한 행위는 무단 인원의 접근을 막기 위해 마련된 기존 정책을 위반한 것입니다. 아스 테크니카(Ars Technica)에 따르면, 해당 정책에는 내부 검증 절차와 셀프 리셋 비밀번호 도구 사용이 포함되어 있습니다. 만약 사용자가 이 도구를 이용할 수 없는 경우, 코기넌트는 관리자 이름과 사용자 이름을 확인하여 신원을 검증해야 합니다. 이 과정은 비밀번호를 재설정할 뿐만 아니라, 어느 정도의 보안을 확보하기 위해 직원과 관리자에게 이메일을 발송하는 절차를 거치도록 되어 있습니다.
사이버 범죄자에게 매우 쉬웠던 소셜 엔지니어링 성공 사례
안타깝게도 이러한 절차를 무시한 사례가 여러 차례 발생했습니다. 코기넌트 직원들이 발신자의 신원을 확인하지 않고 비밀번호를 단순히 넘겨준 것이라는 주장이 제기됩니다. 실제로 한 부분적인 통화 기록은 이를 뒷받침하는 증거를 제공합니다. 이 통화에서는 해커로 추정되는 사람이 코기넌트 직원에게 "비밀번호가 없어서 접속할 수가 없습니다"라고 말했고, 직원은 망설임 없이 "아, 네. 알겠습니다. 그럼 제가 비밀번호를 알려드릴까요?"라고 답했다고 합니다.
[관련 기사 제목]
- Nitrogen 랜섬웨어 결함이 피해자의 데이터를 영구적으로 가두다
- 보안 연구원, AMD 자동 업데이트의 취약점으로 원격 코드 실행 가능성 지적
권한 있는 직원의 신분을 사칭하는 행위는 가장 기본적인 소셜 엔지니어링 공격 수법 중 하나이므로, 많은 IT 기업들이 이에 대비하여 여러 보안 조치를 마련하고 있습니다. 그러나 이번 사건은 코기넌트 직원들이 지나치게 안일하게 대처하고 내부 프로토콜을 위반함으로써 클로록스에 수백만 달러에 달하는 손실을 초래했을 가능성이 있는 것으로 보입니다. 이는 아무리 견고하고 정교한 사이버 보안 시스템이라 할지라도, 가장 취약한 지점에서 언제든지 뚫릴 수 있음을 보여줍니다.
소장에는 "코기넌트는 어떤 정교한 속임수나 복잡한 해킹 기술에 속지 않았다"고 명시되어 있습니다. "사이버 범죄자는 단순히 코기넌트 서비스 데스크에 전화하여 클로록스 네트워크 접근에 필요한 인증 정보를 요청했을 뿐이며, 코기넌트는 그 인증 정보를 곧바로 넘겨주었다"고 기록되어 있습니다.
최신 뉴스, 분석 및 리뷰를 피드에서 받아보려면 구글 뉴스에서 Tom's Hardware를 팔로우하세요. 팔로우 버튼을 클릭했는지 확인해 주세요.