열린마당

자유게시판

  • HOME
  • 열린마당
  • 자유게시판
자유게시판 상세보기, 제목, 내용, 파일등의 정보를 제공합니다.
제목 [보안뉴스] 18세에게 털린 우버, 해킹 사고 내용 공개하지 않고 “괜찮다”고만
18세 해커가 우버를 해킹했다는 사실 때문에 난리가 났다. 그러면서 우버의 보안 관리 실태에 대한 의혹들이 여기 저기서 제기되는 중이다. 스무 살도 되지 않은 해커는, 우버라는 거대 기업의 IT 인프라에 쉽게 접근해 관리자 권한을 가져가는 데 성공한 것으로 알려져 있다. 이 과정에서 해커는 기술적인 해킹 기술을 한 번도 발휘하지 않았다고 한다.

현재까지 우버 측에서는 이번 사건과 관련된 세부 내용을 공개하지 않고 있다. 조치를 취하고 있다는 것이 거의 전부다. 그 외에는 공격을 성공시킨 해커라고 스스로를 밝힌 10대 청소년의 주장이 이 사건에 대하여 보도되고 있는 내용의 거의 모든 부분을 차지하고 있다.

이 주장에 따르면 해커는 소셜 엔지니어링 공격 기법을 통해 우버 내부 직원을 속임으로써 직원용 크리덴셜을 확보하는 데 성공했고, 자유롭게 우버 네트워크에 접속할 수 있게 된 후 횡적으로 움직여 이메일, 클라우드 저장소, 코드 리포지터리 개발 환경 등 중요 시스템에 접근했다고 한다. 해커는 내부 시스템의 스크린샷을 공개함으로써 자신의 말이 사실임을 입증하고 있기도 하다.

스크린샷에 의하면 공격자는 우버의 내부 AWS, 구글 클라우드(Google Cloud), VM웨어 브이스피어(VMware vSphere), 여러 윈도 환경들에 관리자 권한을 가지고 접속하는 데 성공한 것으로 보인다. 심지어 해커원(HackerOne)이라는 버그바운티 플랫폼을 통해 외부 보안 전문가들이 찾아낸 우버 시스템 내 취약점 정보까지 완전히 파악해낸 것으로도 보인다. 우버의 영업 지표와 슬랙(Slack) 플랫폼 및 EDR 플랫폼 관련 정보까지도 해커의 손으로 넘어갔다.

코르벤 레오(Corben Leo)라는 한 트위터 사용자는 SNS 게시글을 통해 자신도 이번에 공개된 크리덴셜을 통해 우버의 VPN에 접근하는 데 성공했으며, 내부 인트라넷을 스캔까지 했다고 주장했다. 그러면서 DA, 듀오(Duo), 원로그인(OneLogin), AWS, 지스위트(GSuite)와 같은 서비스들로부터 우버의 각종 비밀들까지 추출할 수 있었다고 한다.

공격자의 진짜 공격 동기와 목표에 대해서는 아직 알려진 바가 없다. 공격자가 실제로 입힌 피해는 현재 시점에는 ‘소란을 일으킨 것’ 뿐이다. 다만 우버에 등록된 운전자들이 돈을 더 받아야 한다는 주장을 한 번 하기는 했다. 보안 업체 유가랩스(Yuga Labs)의 샘 커리(Sam Curry)는 “공격자들의 행위가 꼼꼼하지는 않으며, 매우 어린 사람이 배후에 있을 것처럼 보이게 만든다”고 설명한다.

두바이의 보안 서비스 업체 인빈시블시큐리티그룹(Invincible Security Group, ISG)은 우버 해킹에 성공한 공격자가 탈취하는 데 성공했다고 주장하는 관리자 크리덴셜들을 확보했다고 발표했다. “검토해 보니 강력한 비밀번호들이었습니다. 아마추어 해커가 기술적으로 크래킹을 했다고 보기에는 무리가 있을 정도였고, 따라서 해커가 ‘소셜 엔지니어링 기법을 활용했다”고 하는 주장이 사실일 가능성이 높아 보입니다.

커리는 “공격자가 직원 크리덴셜을 침해해서 로그인을 하고, 거기서부터 해당 직원의 VPN용 이중인증 시스템도 무력화시키는 데 성공했다”고 설명한다. “VPN에 접속하는 데 성공한 공격자는 네트워크 드라이브를 발견하면서 드디어 핵심적인 요소에까지 도달하게 되었습니다. 우버의 구글과 아마존 클라우드에 높은 권한을 가지고 접근할 수 있게 되었던 것이죠. 우버가 실행시키는 애플리케이션과 클라우드 스토리지 전부가 사실상 노출된 것이라고 볼 수 있습니다.”

18세 해커의 소셜 엔지니어링 공격에 가장 먼저 당한 사람은 다름 아니라 우버 내부 사건 대응 팀에 소속된 직원이었다고 한다. 커리는 “사건 대응 및 보안 팀에 소속된 직원들은 일반 직원들보다 더 많은 권한을 가지고 있고 더 많은 도구들을 사용할 수 있는 게 보통”이라고 설명한다. “이러한 직원의 권한을 가져갔으니, 해커로서는 다른 일반 직원의 크리덴셜을 훔친 것보다 더 많은 작업을 보다 편리하게 할 수 있었을 것입니다.”

보안 전문가 빌 데머카피(Bill Demirkapi) 역시 이 부분을 지적하며 “가장 염려스러운 점”이라고 말한다. “사건 대응 팀은 직원들이 사용하는 장비에 접속해 이런 저런 명령들을 실행할 수 있습니다. 직원들의 접속 행위를 모니터링 할 수도 있고요. 조직의 보안과 관련되어 있다보니 어쩔 수가 없습니다. 공격자가 가져가기에 안성맞춤인 권한입니다.”

해커가 우버의 버그바운티 정보를 가져갔다는 것에도 문제가 있다고 전문가들은 말한다. 커리는 자신조차 우버의 플랫폼에서 취약점을 발견해 버그바운티 플랫폼을 통해 제출한 적이 있다며 공격자가 이러한 정보를 광범위하게 가져갔다는 건 앞으로 우버 플랫폼의 안전을 보장할 수 없다는 뜻이 될 수 있다고 설명한다. 참고로 커리가 발견한 취약점은 코드 리포지터리에 대한 접근 권한을 공격자가 가져갈 수 있게 해 주는 것이었다고 한다.

다행히 커리가 발견한 취약점은 우버 측에서 패치를 했다고 한다. “하지만 공격자가 이번에 가져간 버그바운티 관련 정보 중 패치가 되지 않은 것이 무엇이며 된 것이 무엇인지는 알 수가 없습니다. 즉 패치가 아직 되지 않은 취약점 정보가 있을 수 있다는 것입니다. 게다가 취약점 정보라는 것은 보통 익스플로잇 방법도 포함합니다. 공격자들 입장에서는 우버라는 대형 기업을 침해할 수 있는 갖가지 방법들이 공개되는 것과 마찬가지입니다.”

보안 업체 솔보(Solvo)의 CEO 쉬라 샴반(Shira Shamban)은 “버그바운티 정보는 조직들의 보안 아키텍처에서 굉장히 중요하고도 민감한 층위를 차지한다”고 말한다. “우버의 IT 환경에 대한 중요한 정보 중 숨겨져 있던 것들이 해커의 손에 넘어갔다고 볼 수 있습니다. 우버가 절대로 공개하기 싫었던 정보들이 대부분일 테지요. 이 정보가 다른 공격 단체의 손에 넘어간다면 우버의 네트워크가 다시 한 번 무수한 공격의 표적이 될 것입니다.”

보안 업체 페리미터81(Perimeter 81)의 CEO 아밋 바레켓(Amit Bareket)은 “취약점 정보는 늘 양날의 검 같은 것”이라며 “올바른 보안 대책을 마련하기 위해서 필요한 것이기도 하지만, 반대로 올바른 공격법 혹은 약점을 알려주는 것이기도 하니까”라고 설명한다. “그렇기 때문에 취약점 정보라는 것이 누구의 손에 들려 있느냐가 매우 중요한 문제입니다. 이번에는 해커의 손에 넘어갔죠. 그러니 걱정이 될 수밖에 없습니다.”

우버의 보안은 지난 수년 동안 꾸준히 문제가 되어 왔었다. 2016년 10월에는 5700만 이용자의 개인정보가 유출되는 사건이 있었는데, 우버 측은 해커들에게 버그바운티 명목으로 10만 달러를 주고 비밀을 지켜달라고 했었다. 공식적으로 해킹 사고 신고를 한 게 아니고 범죄자들과 뒤에서 은밀한 거래를 하려 했던 것이다. 이 사건은 2년 후인 2018년 1억 4800만 달러라는 합의금을 피해자들에게 내는 것으로 해결이 됐다. 이번 사건을 통해 우버의 보안이 강화될지 지켜봐야 하지만, 대부분 회의적인 시각을 가지고 있다.
파일
목록