클루의 OAuth 토큰 유출 사고, ‘이카루스’ 그룹이 책임을 주장하며 피해 확산

클라우드 기반 마켓 인텔리전스 플랫폼 클루( Klue )가 최근 발생한 보안 사고를 공개적으로 확인했다. 공격자들은 클루의 통합 인프라에 침투해 고객의 Salesforce 환경에 연결하는 OAuth 토큰을 탈취했으며, 새로운 ‘이카루스(Icarus)’라는 랜섬웨어 그룹이 이 공격을 자처하며 피해 조직이 점차 늘어나고 있는 상황이다.

클루의 CEO 제이슨 스미스는 6월 12일 비정상적인 활동이 감지되었다고 밝혔다. 스미스는 “6월 12일 클루의 일부 통합 인프라에서 비정상적인 활동이 감지되었다. 이후 신뢰할 수 있는 사이버 보안 전문가들과 협력해 발생 원인을 파악하고, 고객 지원 및 필요한 연결 복구를 진행하고 있다”고 설명했다. 스미스는 공격자가 레거시 통합 서비스에 연결된 인증 정보를 탈취해 클루와 타 플랫폼(특히 Salesforce) 간의 연결을 가능하게 하는 OAuth 토큰을 획득했다고 밝혔다. 이 토큰을 통해 공격자들은 연결된 고객 환경 내 데이터에 접근할 수 있었다. 현재까지 클루 자체 플랫폼에 저장된 고객 콘텐츠가 유출되었다는 증거는 없으며, 오로지 타 플랫폼과의 통합을 통한 데이터 접근만이 확인되었다고 발표했다.

클루는 즉시 영향을 받은 인증 정보와 토큰을 폐기하고, 무단 삽입된 코드를 제거했으며, 영향을 받은 통합 기능을 일시 중단했다고 밝혔다. 또한 법집행기관에 사고를 신고하고, 대응 과정에서 크라우드스트라이크(CrowdStrike)의 지원을 받았다고 밝혔다. 클루의 이러한 조치는 신속했지만, 이미 유출된 OAuth 토큰을 기반으로 한 데이터 유출은 막지 못했다.

OAuth 토큰이란 무엇이며 왜 위험한가

OAuth는 사용자가 타 서비스에 접근 권한을 부여할 수 있도록 하는 표준 인증 프레임워크다. 클라우드 환경에서 널리 사용되며, 사용자 대신 타 애플리케이션이 API를 호출할 수 있도록 토큰을 발급한다. 예를 들어, 클루가 고객의 Salesforce 데이터에 접근하려면 Salesforce에서 OAuth 토큰을 발급받아야 한다. 이 토큰이 유출되면 공격자는 해당 토큰을 사용해 Salesforce API를 호출할 수 있게 된다.

보안 전문가들은 OAuth 토큰이 유출되었을 때의 위험성을 강조한다. 토큰 자체가 사용자 이름과 비밀번호처럼 직접적인 인증 수단이기 때문에, 토큰이 유출되면 공격자는 해당 토큰을 무기한 사용할 수 있다. 게다가 OAuth 토큰은 종종 장기간 유효하도록 설정되어 있어, 토큰이 유출되면 공격자가 오랫동안undetected 상태로 활동할 수 있다는 점에서 매우 위험하다. 클루의 경우, 공격자들이 Python 스크립트를 사용해 Salesforce API를 지속적으로 쿼리하며 데이터를 탈취했다는 사실이 보안 업체들에 의해 확인되었다.

‘이카루스’ 그룹의 등장과 랜섬웨어 위협

새로운 ‘이카루스(Icarus)’ 그룹이 클루의 보안 사고에 대한 책임을 주장하며 피해 조직 목록을 공개하고 있다. 이 그룹은 자체적으로 공격 사실을 인정하고, 유출된 데이터를 기반으로 조직을 협박하는 전략을 펼치고 있는 것으로 보인다. 이카루스 그룹은 최근 몇 년간Emerging한 랜섬웨어 그룹으로, 주로 데이터 탈취 및 협박을 병행하는 ‘double extortion’ 전략을 사용하고 있다.

랜섬웨어 그룹이 단순히 시스템을 암호화하는 데 그치지 않고, 데이터를 탈취해 공개하거나 이를 협박 수단으로 사용하면서 피해는 더욱 심각해졌다. 클루의 경우, 공격자들이 OAuth 토큰을 통해 Salesforce 환경에 접근해 고객 데이터를 탈취했다고 알려져 있으며, 이 데이터가 이카루스 그룹의 협박 수단으로 사용될 가능성이 크다. 보안 업체들은 이카루스 그룹이 공개한 피해 조직 목록이 점차 늘어나고 있으며, 피해 규모가 더 커질 우려가 있다고 지적한다.

클루의 대응과 고객에 대한 영향

클루는 사고 발생 직후 신속한 대응을 진행했다고 밝혔다. 영향 받은 인증 정보와 OAuth 토큰을 즉시 폐기하고, 무단으로 삽입된 코드를 제거했으며, 영향을 받은 통합 기능을 일시 중단했다. 또한 법집행기관에 사고를 신고하고, 크라우드스트라이크의 지원을 받아 대응을 진행했다고 밝혔다. 클루는 고객에게 직접 연락해 조치를 안내했고, 영향 받은 고객에게는 추가적인 보안 점검을 제공했다고 전했다.

그러나 클루의 대응에도 불구하고, 이미 유출된 OAuth 토큰을 기반으로 한 데이터 유출은 막지 못했다. 보안 업체들은 클루의 통합 인프라에 침투한 공격자들이 Python 스크립트를 사용해 Salesforce API를 지속적으로 쿼리하며, 고객의 민감한 데이터(비즈니스 연락처, 영업 커뮤니케이션, 가격 정보 등)를 대량으로 탈취했다고 밝혔다. 특히, Huntress는 자체 Salesforce 환경이 클루의 보안 사고로 인해 영향을 받았다고 밝혔다. 유출된 데이터에는 비즈니스 연락처, 영업 커뮤니케이션, 가격 정보 등 민감한 정보가 포함되어 있었다.

클루의 고객은 Salesforce 환경에 연결된 클루의 Battlecards(배틀카드) 통합 기능을 통해 영향을 받았을 가능성이 크다. Battlecards는 영업 및 마케팅 팀이 고객 정보와 인사이트를 신속하게 공유할 수 있도록 설계된 기능으로, 많은 조직에서 중요한 데이터 교환 수단으로 사용된다. 클루의 Battlecards를 통해 연결된 Salesforce 데이터가 유출되었다면, 이는 해당 조직의 영업 비밀과 고객 정보가 노출되었음을 의미한다.

보안 통합의 위험성과 관리 포인트

클루의 사례는 클라우드 기반 통합 서비스에서 발생할 수 있는 보안 위험성을 여실히 보여준다. 많은 조직이 다양한 클라우드 서비스와 타 플랫폼 간의 통합을 통해 업무 효율성을 높이고 있지만, 이러한 통합은 동시에 새로운 보안 취약점으로 작용할 수 있다. 특히 OAuth 토큰과 같은 인증 수단이 유출되면, 공격자는 해당 토큰을 무기한 사용할 수 있어 장기적인 위협이 된다.

조직은 통합 서비스 사용 시 몇 가지 보안 관리 포인트를 고려해야 한다. 첫째, 통합 서비스에 사용되는 인증 정보(특히 OAuth 토큰)는 정기적으로 교체하고, 장기간 유효하도록 설정된 토큰은 가능한 한 사용하지 않아야 한다. 둘째, 통합 서비스에 삽입된 코드나 스크립트는 정기적으로 검토해 무단 변조가 없는지 확인해야 한다. 셋째, 통합 서비스에 접근하는 API 호출 로그를 모니터링해 비정상적인 활동이 감지되면 즉각 대응할 수 있도록 해야 한다.

클루의 경우, 레거시 통합 서비스에 연결된 인증 정보가 탈취되어 공격이 가능했다. 이 사례는 조직이 통합 서비스를 관리할 때, 레거시 시스템이나 더 이상 사용되지 않는 인증 정보도 철저히 관리해야 함을 시사한다. 또한, 통합 서비스 제공업체와 고객 간의 책임 분담도 명확히 해야 한다. 클라우드 서비스 제공업체는 기본적인 보안 기능을 제공하지만, 고객은 자체적인 보안 관리와 모니터링을 통해 위험을 최소화해야 한다.

이카루스 그룹의 위협과 향후 전망

이카루스 그룹의 등장은 랜섬웨어 threat landscape가 어떻게 진화하고 있는지를 보여준다. 이 그룹은 단순히 시스템을 암호화하는 데 그치지 않고, 데이터를 탈취해 공개하거나 협박하는 ‘double extortion’ 전략을 사용하고 있다. 이 전략은 피해 조직에 더 큰 압박을 가하며, 복구 비용을 증가시키는 요인이 되고 있다.

클루의 사례에서 확인된 것처럼, 이카루스 그룹은 OAuth 토큰을 통한 API 접근을 활용해 데이터를 대량으로 탈취하고 있다. 이는 타 조직에서도 발생할 수 있는 보안 위협으로, 특히 클라우드 기반 통합 서비스를 많이 사용하는 조직은 주의가 필요하다. 또한, 이카루스 그룹이 공개한 피해 조직 목록이 점차 늘어나고 있어, 피해 규모가 더 커질 우려가 있다.

향후 이카루스 그룹은 더욱 정교한 공격 기법을 개발할 가능성이 크다. 특히, OAuth 토큰과 같은 인증 수단을 악용한 공격은 증가할 것으로 보이며, 조직은 이러한 위협에 대비하기 위한 보안 강화가 필요하다. 또한, 랜섬웨어 그룹 간의 경쟁이 치열해지면서, 새로운 그룹의 등장과 공격 기법의 진화가 예상된다.

클라우드 보안 환경의 변화와 조직의 대응 전략

클라우드 환경이 보편화되면서, 조직은 클라우드 서비스와 타 플랫폼 간의 통합을 통해 업무 효율성을 높이고 있지만, 이는 동시에 새로운 보안 위협을 초래하고 있다. 클루의 사례는 클라우드 통합 서비스의 보안 위험성을 여실히 보여주며, 조직이 보다 면밀한 보안 관리를 필요로 함을 시사한다.

조직은 클라우드 보안 환경의 변화에 대응하기 위해 몇 가지 전략을 고려해야 한다. 첫째, 클라우드 서비스 제공업체와 통합 서비스 제공업체의 보안 인증 및 평가를 확인하고, 안전한 서비스를 선택해야 한다. 둘째, 클라우드 환경에서 사용되는 인증 정보(특히 OAuth 토큰)는 정기적으로 교체하고, 장기간 유효하도록 설정된 토큰은 가능한 한 사용하지 않아야 한다. 셋째, 클라우드 서비스와 통합 서비스 간의 API 호출 로그를 모니터링해 비정상적인 활동이 감지되면 즉각 대응할 수 있도록 해야 한다.

또한, 조직은 클라우드 보안 사고 발생 시 신속한 대응을 위한 프로토콜을 마련해야 한다. 사고 발생 시, 영향 받은 시스템과 데이터를 신속히 격리하고, 피해를 최소화하기 위한 조치를 취해야 한다. 또한, 고객에게 투명한 커뮤니케이션을 통해 신뢰를 유지하는 것도 중요하다.

클라우드 환경에서 발생하는 보안 위협은 점점 더 복잡해지고 있다. 조직은 이러한 위협에 대응하기 위해 지속적인 보안 관리와 모니터링을 강화해야 하며, 클라우드 서비스 제공업체와 통합 서비스 제공업체 간의 협력도 강화해야 한다. 클루의 사례는 조직이 클라우드 보안 환경의 변화에 어떻게 대응해야 하는지를 보여주는 중요한 교훈으로 작용할 것이다.

결론: 클라우드 통합 보안의 중요성과 지속적인 관리 필요성

클루의 OAuth 토큰 유출 사건은 클라우드 기반 통합 서비스의 보안 위험성을 여실히 보여주었다. 공격자들은 레거시 인증 정보를 탈취해 OAuth 토큰을 획득했고, 이를 통해 고객의 Salesforce 환경에 접근해 민감한 데이터를 대량으로 탈취했다. 새로운 ‘이카루스’ 그룹은 이 사건을 자처하며 피해 조직 목록을 공개하고, 랜섬웨어 위협을 확대하고 있다.

이 사건은 조직이 클라우드 통합 서비스를 사용할 때, 인증 정보와 API 접근 권한을 철저히 관리해야 함을 시사한다. 특히 OAuth 토큰과 같은 장기간 유효한 인증 수단은 정기적으로 교체하고, API 호출 로그를 모니터링해 비정상적인 활동을 신속히 감지해야 한다. 또한, 클라우드 서비스 제공업체와 통합 서비스 제공업체는 보다 투명한 보안 관리와 고객 지원 프로토콜을 마련해야 한다.

클라우드 환경은 업무 효율성을 높이는 데 기여하지만, 동시에 새로운 보안 위협을 초래하고 있다. 조직은 이러한 위협에 대응하기 위해 지속적인 보안 관리와 모니터링을 강화하고, 클라우드 보안 환경의 변화에 발맞춰 대응 전략을 수립해야 한다. 클루의 사례는 조직이 클라우드 통합 보안을 어떻게 관리해야 하는지에 대한 중요한 교훈을 제공하며, 앞으로도 подоб한 사건이 반복되지 않도록 보안 강화가 절실히 요구된다.