보안

침해 이후 원로그인의 대응과 고객 신뢰 회복 방법…원로그인 CEO 브래드 브룩스 인터뷰

Dan Swinhoe | CSO 2019.04.18
데이터 침해는 이제 비즈니스에서 보편적인 일상이 됐다. 종류와 규모에 관계없이 모든 기업이 사이버 공격의 목표물이 될 수 있는 만큼 데이터 침해에 대응하는 방식이 중요하다.

머스크(Maersk)와 노스크 하이드로(Norsk Hydro)는 대대적인 랜섬웨어 공격을 받아 운영에 차질을 빚었지만 명확하고 간결하며 투명한 메시지와 대응은 긍정적인 평가를 받았다. 더블펄사(DoublePulsar)의 케빈 부몬트는 노스크 하이드로의 대응 전략에 대해 "지금까지 내가 본 최고의 사고 대응 계획"이라고 말했다.



우수한 사고 대응은 비즈니스에도 유익하다. 실제로 노스크는 이 사고로 인해 제조 비즈니스의 여러 부분에서 과거의 수작업으로 돌아가야 했고 공격 첫째 주에만 생산성 손실로 인해 4,000만 달러의 피해를 입었음에도 불구하고 이 기사를 쓰는 현재, 주식의 가치는 사고 당시보다 높다.

반면 브라이언 크렙스는 에퀴팩스(Equifax)의 2017년 침해 사고 대응을 두고 "무계획적이고 뒤죽박죽인 혼란 그 자체"라고 평가했다. 에퀴팩스는 한 달이 지나서야 침해 사실을 공개했으며 사고 대응 전용 웹사이트 서비스 약관에 이후의 모든 집단 소송 참여에 대한 포기 조항을 집어넣었다.

IAM(Identity and Access Management) 제공업체 원로그인(OneLogin)은 12개월 사이 두 건의 침해 사고를 겪었다. 그럼에도 불구하고 이 업체는 제자리를 되찾았고, 실수를 통해 배우고 이후 고객에게 보안 태세를 어떻게 바꾸었는지 보여줌으로써 최근에는 새로운 투자도 유치했다.


원로그인에 발생한 침해 사고

원로그인은 2009년에 창업된 클라우드 기반 IAM 제공업체로 미국 샌프란시스코에 본사를 두고 있다. 비상장 기업이며 전 세계 기업에 사용자 프로비저닝, 라이프사이클 관리, 다중 요소 인증(MFA) 서비스를 제공한다. 고객사로는 에어버스, 영국 적십자, 델, NASA, 미쓰비시 전기 등이 있다.

2017년 5월 31일, 원로그인에 아마존 웹 서비스(AWS) 인프라와 관련된 보안 사고가 발생하면서 사용자 정보와 데이터가 유출됐다. 미국 데이터센터를 통해 서비스를 받는 모든 고객이 영향을 받았다. 공격자는 원로그인의 AWS 키 가운데 하나를 사용해 미국 중간 서비스 제공업체의 API를 통해 회사 AWS 플랫폼에 대한 액세스 권한을 획득했다.

공격자는 원로그인 인프라의 인스턴스를 여러 개 만들어 정찰하고 사용자, 앱, 다양한 유형의 키에 대한 정보가 포함된 데이터베이스 테이블을 액세스할 수 있는 권한을 입수했다. 원로그인 직원은 공격을 탐지하고 몇 분 이내에 영향을 받은 인스턴스와 해당 AWS 키를 종료했지만 그 시점은 공격이 이미 약 7시간 동안 실행된 후였다.

원로그인은 고객에게 일부 민감한 데이터는 암호화되어 있지만 "공격자가 데이터를 해독할 수 있는 역량을 확보했을 가능성을 배제할 수 없다"고 경고했다. 원로그인은 고객에 비밀번호를 변경하고 서비스의 API 키를 새로 생성하고 계정 로그인을 위한 새 오쓰(OAuth) 토큰을 만들고 새 보안 인증서를 만들 것을 당부했다.

이 사고는 첫 번째 사고가 발생하고 1년이 채 되지 않은 시점에 발생한 두 번째 사고였다. 첫 번째 사고에서는 침해로 인해 보안 노트(Secure Notes)에 저장된 정보가 공격자에게 일반 텍스트로 노출됐다.


원로그인의 침해 대응 방법

2017년 8월 사고 직후, 브래드 브룩스가 원로그인의 CEO로 선임됐다. 브룩스는 사고가 발생한 시점에는 회사에 공식적으로 소속되어 있지 않았지만 사고의 여파에 어떻게 대처해야 하는지에 대해 원로그인에 자문했다. 결과적으로 원로그인은 고객과 잘 소통했다는 평가를 받았다. 원로그인의 대응을 간단히 정리하면 다음과 같다.

- 원로그인은 침해를 발견한 당일 공식 성명을 통해 공격을 발견해 차단했으며 사법 당국에 알렸음을 발표했다.
- 다음 날 공격 방법과 고객에 미친 영향을 정리한 업데이트된 정보를 게시했다.
- 이날 회사가 AWS 관련 보안을 개선하기 위해 취한 조치를 정리한 최종 업데이트를 발표했다.
- 최종 업데이트와 함께 회사는 모든 고객에게 더 세부적인 내용과 지원 페이지 안내가 포함된 이메일을 발송했다.


브룩스는 "고객에게 극히 투명해야 하며, 대부분의 경우 첫 36~48시간 이내에는 정확히 어떤 일이 일어났는지 모른다는 사실을 솔직히 인정해야 한다"면서, "처음 얻은 정보는 틀릴 가능성이 높다. 무엇을 알고 무엇을 모르는지 고객에게 명확히 전달하는 것이 중요하다"고 말했다.

브룩스는 "조사가 어떤 상태에 있든 고객과 대화를 하면서 추가 정보를 공유할 대략적인 시점을 예측할 수 있도록 하는 것이 중요하다"면서 "이런 투명함과 신속함이 중요하다. 에퀴팩스처럼 3~4개월 동안 숨기면 안 된다. 이 경우 신뢰가 완전히 무너지고, 브랜드와 회사 평판 하락이 그 뒤를 따른다"고 말했다.

상황을 정확히 파악하기 시작하면 현재와 미래의 조치, 실행 시점에 대한 명확한 행동 계획을 수립하고 각 행동을 이끄는 경영진 내의 책임자 이름을 알리는 것이 중요하다. 브룩스는 "구체적인 날짜, 경영진 내의 구체적인 이름을 제공함으로써 무슨 일이 일어났는지, 어떻게 해결할 지를 회사가 잘 파악했고 책임감이 있다는 인상, 실제로 계획대로 되고 바뀔 것이라는 인상을 줄 수 있다"고 말했다.

브룩스는 "애매한 태도를 취하고 숨기고 싶은 생각, 취약점을 노출하면 다시 악용되거나 해커를 시스템으로 불러들일 것이라는 잘못된 생각 등 정보 공유에 대한 공포심을 극복해야 최선의 대응을 신속하게 실천할 수 있다"고 조언했다. 


원로그인 침해 사고의 장기적인 영향

브룩스에 따르면, 침해 사고에 따른 가장 뚜렷한 결과는 6개월에 걸쳐 회사의 성장이 멈췄다는 점이다. 일부 고객이 이탈했고, 파이프라인에 있던 잠재 고객도 관심을 접고 상황을 지켜보겠다는 입장으로 돌아섰기 때문이다.

브룩스는 "영업 프로세스가 대략 한 분기 동안 멈췄다. 잠재 고객은 더 자세한 정보를 입수해 원로그인이 실제로 생존할 수 있을 것인지 확인할 때까지 뒤로 물러났다. 결과적으로 약 두 분기에 걸쳐 회사의 성장이 지연됐다"고 설명했다.

브룩스는 "영업이 위축될 것으로는 예상했지만 처음 몇 개월 동안 이어진 심각한 수준까지는 예상하지 못했다"고 말했다.

사고 이후 원로그인은 책임성이 회사 내에서 중요한 원칙 가운데 하나가 됐으며, 침해를 이유로 IAM 제공업체를 변경하고자 한 소수 고객에게는 새로운 업체로 최대한 쉽게 전환할 수 있도록 지원했다. 브룩스는 "나중에 다시 돌아오기를 희망하지만 과거 자사의 고객이었다는 점에 책임감도 느끼고 있다. 해당 고객에게 피해를 입혔기 때문이다"고 말했다.


침해 사고 후 원로그인이 바뀐 점 

원로그인은 2017년 침해 사고를 계기로 회사가 하는 모든 일에서 보안을 가장 중시하는 원칙을 세웠다. 브룩스는 "앞으로 바뀌어야 한다는 의식이 있었다. 다른 무엇보다 보안이 중요하다. 다른 부분은 모두 보안을 위해 타협할 수 있다. 비용, 기능 우선 순위 모두 타협이 가능하다. 항상 보안을 가장 우선해 다른 부분을 최적화할 것이다"고 말했다.

가장 먼저 바꾼 것 중 하나는 코드베이스 내의 취약점 관리 방식이다. 원로그인은 초기 분석 후 코드베이스에서 150가지 결함을 발견했고 2개월 만에 모두 제거했다. 그 다음에는 우선 순위 또는 심각성에 관계없이 어떠한 버그도 발견 시점을 기준으로 48시간 이상 코드에 남아 있어서는 안 된다는 규칙이 정해졌다.

2018년 4월에는 저스틴 칼머스가 원로그인 CSO로 선임됐다. 칼머스는 버그 바운티 플랫폼인 해커원(Hackerone), 제네피츠(Zenefits)의 CIO와 CSO, 세일즈포스와 링크드인의 보안 책임자 직책을 두루 거쳤다. 브룩스는 "침해 후 칼머스가 들어온 다음부터 전체 보안 모델을 새로 구축했다. 칼머스는 해커처럼 생각한다. 이런 공격적 사고방식이 회사가 한 단계 더 성숙하는 데 크게 기여했다"고 말했다. 원로그인은 침해 이후 보안을 개선하기 위해 다음과 같은 조치를 취했다.

- AWS를 사용할 때 유비키(YubiKeys)를 통해 다중 요소 인증과 같은 새로운 통제 수단 구현
- 외부 침투 테스트 실행(회사 인프라와 현장에서 모두)
- 버그 바운티 프로그램 참여
- 레드 팀과 블루 팀을 채용해 보안 태세 테스트 및 개선
- 회사 보안 태세의 방향을 잡기 위한 보안 자문 위원회 구성


원로그인은 자체 침투 테스트 팀을 갖춘 고객을 초청해 그 회사의 코드베이스에서 직접 결함을 조사할 것을 독려하고 이를 통해 취약점을 찾아 수정했다. 브룩스는 "중요한 것은 끝은 없다는 점이다. 지속적으로 개선하면서 필요한 모든 투자를 하고 근시안적인 시야에 갇히지 않도록 해야 한다. 혼자서 하는 것이 아니라 전체 커뮤니티와 협력해 우리를 해킹하고 압박해서 개선을 이끌어야 한다"고 말했다.

원로그인은 회사에 대한 고객의 인식을 측정하기 위해 분기별로 순 추천 고객(Net Promoter) 지수를 평가한다. 브룩스는 "이 과정에서 보안과 보안 프로세스에 대한 고객의 인식을 묻고 지속적으로 측정한다"고 말했다.

브룩스는 "침해 사고에도 불구하고 회사에 대한 인식이 업계에서 높은 수준이며 계속 개선되는 중"이라고 말했다. 투명성과 회사의 새로운 보안 접근 방법에 대한 메시지가 효과를 보고 있다는 의미다. 또한 원로그인은 최근 그린스프링 어소시에이츠(Greenspring Associates) 주관으로 1억 달러의 신규 투자금도 유치했으며 제품은 분석 평가에서 여전히 좋은 점수를 받고 있다.

브룩스는 비슷한 상황을 겪고 있는 다른 회사에게 "세계가 끝난 것은 아니고 터널의 끝에는 빛이 있다"고 조언했다. 

브룩스는 "여전히 많은 이가 보안을 '있으면 좋은(nice to have)' 부가적인 요소로 생각하지만, 보안은 '있어야 하는(must have)' 필수 요소다. 이런 인식이 없다면 언젠가는 필연적으로 문제를 겪게 된다"면서, "과거의 어떤 관행이 침해를 비롯한 지금의 문제로 이어졌든 보안에 대한 의사 결정이 다른 모든 IT 의사 결정보다 우선해야 한다는 것을 인식해야 한다. 그렇지 않으면 어떤 비즈니스라도 고객의 신뢰를 잃게 된다"고 말했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.