Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

랜섬웨어 집단 랩서스 "옥타도 뚫었다" 주장

Scott Carey | CSO 2022.03.23
랜섬웨어 집단 랩서스(LAPSUS$)가 클라우드 기반 인증 소프트웨어 업체인 옥타(Okta)의 내부 시스템에 침입해 고객 데이터에 접근했다고 주장했다.
 
ⓒ Getty Images Bank

이번 사건은 화상회의업체인 줌(Zoom)의 수석 보안 엔지니어인 빌 데미르카피가 3월 21일 트위터에 처음으로 알렸다.

데미르카피가 텔레그램에서 가져와 온라인 상에 게재한 화면 캡처에 따르면, 랩서스는 옥타의 데이터베이스를 표적으로 한 것이 아니라 옥타 고객을 표적으로 삼았다. 또한 슈퍼유저 접속권한과 옥타의 내부 지라(Jira) 및 슬랙(Slack) 인스턴스의 화면 캡처를 보여줬다. 

22일 오전, 옥타 CEO 토드 맥킨논은 트위터에 다음과 같이 답변했다.

"2022년 1월 말, 옥타는 보조처리업체(Subprocessor) 중 한 곳에서 일하는 고객 지원 엔지니어의 계정을 해킹하려는 시도를 탐지했다. 이 문제는 해당 보조처리업체가 조사해 마무리했다. 현재 온라인 상에 회자되는 화면 캡처는 지난 1월에 있었던 사건과 연관이 있다고 생각한다. 지금까지 조사에 의하면, 1월에 탐지된 활동 이외에 악의적인 움직임은 없었다."  

22일 오후, 옥타는 공식 성명을 통해 "옥타 서비스는 침해되지 않았으며, 온전하게 운영되고 있다. 고객이 취해야 할 조치는 없다"라고 밝혔다.

이 성명에서 최고 보안 책임자인 데이비드 브래드버리는 “공격자가 지원 엔지니어의 노트북에 접근할 수 있었던 것은 2022년 1월 16~21일까지 5일 동안이었다”라고 설명했다. 따라서 침해는 해당 엔지니어가 일반적으로 갖고 있는 접근 권한(지라 티켓과 사용자 목록을 포함)으로 제한되며, 사용자 생성이나 삭제, 고객 데이터베이스를 다운로드하는 권한은 없었다는 것이다. 브래드버리는 “영향을 받을 가능성이 있는 고객을 특정해 연락을 취하는 등 적극적으로 조사하고 있다”라고 덧붙였다.  

클라우드플레어(Cloudflare) CEO 매튜 프린스는 앞서 자신의 회사가 해킹 당했는지 확인하지는 못했지만, 이는 지난 4개월 동안 비밀번호를 변경한 모든 직원의 옥타 자격 증명을 충분히 주의해 재설정하고 인증 소프트웨어 대안을 검토하라고 지시했다. 

랩서스는 최근 삼성과 엔비디아를 침해한 랜섬웨어 그룹이다(3월 22일 마이크로소프트 또한 한 직원이 랩서스 집단에 해킹 당해 일부 소스코드 접근 권한을 도용당한 사실을 인정했으며, 23일 LG전자 또한 데이터 유출 사실을 일부 인정했다. 편집자 주). 

에셋(Eset)의 글로벌 사이버보안 고문인 제이크 무어는 “옥타의 기술을 사용하는 기업 고객은 특히 원치 않은 이메일의 의심스러운 활동을 더욱 경계하고 주의를 기울여야 한다”라고 경고했다. 
editor@itworld.co.kr
 Tags 랩서스 옥타 LAPSUS$ Okta
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.