국제 해커집단 'LAPSUS$' 해킹 피해 조사 결과 접근 관리업체 Okta가 보고

국제 해커집단 'LAPSUS$' 해킹 피해 조사 결과 접근 관리업체 Okta가 보고

국제적 해커그룹의 "LAPSUS$"은 NVIDIA 및 Samsung, Microsoft와 같은 기업에 해킹을 시도한 것으로 알려졌으며, 2022년 1월에는 기업용 액세스 관리 서비스를 제공하는 Okta에 해킹을 시도한 사실도 확인되었다. Okta의 대응에 대해서는, 「피해를 경시하고 있다」라고 하는 비난도 전해지고 있었지만, 드디어 Okta가 이 사건에 관해서 최종적인 조사 결과를 보고했다.

2022년 3월 22일 LAPSUS$ 멤버가 팀 채널에 올린 'Okta' 내부관리 패널에 접속한 것을 보여주는 스크린샷이 SNS에 돌았다. 이 트윗을 받고 Okta의 토드 맥키넌 CEO는 2022년 1월 하순 위탁업체인 서드파티 고객 지원 엔지니어의 계정을 침해하려는 시도를 검출했다며 해킹을 시인했다.

그러나, Okta의 최고 시큐러티 책임자인 데이비드 블러드 베리는, 서비스 자체는 침해되지 않고 완전하게 동작한 채라고 해, 중대한 피해는 없었다고 주장했다. 이러한 대응에 대해서는, 「Okta는 공격을 가능한 한 경시하려고 하고 있다」 「고객은 경계를 강하게 해야 한다」라는 비난의 소리도 나오고 있었다.

해킹의 발각으로부터 약 1개월이 경과한 4월 19일의 블로그에서, 브래드 베리는 「2022년 1월의 서드 파티 벤더의 침해에 관한 조사를 종료했습니다」라고 해, 최종적인 조사결과를 보고했다. 일련의 조사결과는 「사내의 보안 전문가와 세계적으로 인정받은 사이버 보안 기업」에 의해 이루어졌다고 한다.

블러드 베리에 의하면, 이번 해킹을 당한 것은 "Sitel"이라고 하는 서드 파티 벤더의 고객 서포트 엔지니어라고 한다. 조사 개시시점에서 해커는 지원 엔지니어의 계정을 통해 1월 16일~21일의 5일간에 걸쳐 합계 366개의 고객 임차인에 액세스 가능했다고 되어 있다.

그러나 이후 조사를 통해 실제 피해는 당초 예상했던 최악의 가능성보다 훨씬 작은 것으로 나타났다는 것. 구체적으로는, 해커가 서포트 엔지니어의 게정을 제어할 수 있던 것은 1월 21일 중 약 25분간에 한정되어, 액세스 한 것은 2개의 고객 임대만이었다고 하고, 영향을 받은 2개의 고객에게는 개별적으로 연락하고 있다고 브래드 베리는 설명하고 있다.

해커가 행한 액션에 대해서는, 「Slack이나 Jira등의 애플리케이션에서, Okta의 고객 임대에서는 실행할 수 없는, 한정된 추가 정보를 표시했다」 「위협 액터는 구성의 변경, 다요소 인증이나 패스워드의 리셋, 고객 서포트의 「위장」이벤트등을 정상적으로 실행할 수 없었다」 「위협 액터는, 그 어떤 Okta 계정에 대해서도 직접 인증할 수 없었다」라고 말해, 침해의 전체적인 영향은 당초의 상정보다 크게 작았다고 정리했다.

실제의 피해는 적었지만, 브래드 베리는 「이런 종류의 침해가 고객 및 Okta에의 신뢰에 큰 손해를 줄 가능성이 있는 것을 이해하고 있다」라고 말해 일련의 대응에 대해서는 문제가 있었다고 인정하고 있다.
따라서 피해를 입을 가능성이 있었던 모든 고객에게 '세계적인 사이버 보안 포렌식 기업이 작성한 최종적인 조사 보고서' '서드 파티의 보안을 강화하는 Okta 보안 액션 플랜'을 제공했다고 밝히고 있다.

또한 Okta는 이번 사건으로 인해 서드파티 위탁업체에 대한 보안요건을 변경하고 제로트러스트의 보안 아키텍처를 채택하기로 했으며, 침해를 받은 위탁업체 Sitel과 계약을 중단했다고 한다.

 

Okta Concludes its Investigation Into the January 2022 Compromise | Okta
https://www.okta.com/blog/2022/04/okta-concludes-its-investigation-into-the-january-2022-compromise/

Okta says Lapsus$ breach lasted 25 minutes, impacted two customers | Venture Beat
https://venturebeat.com/2022/04/19/okta-says-lapsus-breach-lasted-25-minutes-impacted-two-customers/

Okta Inc. Concludes Investigation of January Data Breach - MarketWatch
https://www.marketwatch.com/story/okta-inc-concludes-investigation-of-january-data-breach-271650406299