요약생성
바쁠 때는 리얼라이즈가 내용을 요약해 드려요.
ID 정보는 다크 웹에서 가장 잘 팔리는 상품이며, 매년 수십억 달러 규모의 사기를 일으키는 연료 역할을 합니다. 샌탠더, 티켓마스터, 스노우플레이크 및 가장 최근에는 어드밴스 오토 파츠, 렌딩트리 및 자회사 쿼트위저드에서 발생한 침해 사건은 공격자가 조직의 보안 취약점을 이용하기 위해 얼마나 빨리 기술을 개선하는지 보여줍니다. 테크크런치는 온라인에서 발견된 수백 개의 스노우플레이크 고객 암호가 정보 유출 맬웨어와 연결되어 있음을 확인했습니다. 스노우플레이크가 다중 인증(MFA)을 필수가 아닌 선택 사항으로 결정한 것은 침해된 고객이 오늘날 경험하고 있는 ID 공격에 일조했습니다.
사이버 범죄 조직, 조직 및 국가는 ID 침해를 실행할 수 있는 능력에 대해 매우 확신하기 때문에 텔레그램을 통해 사이버 범죄 정보 제공업체와 상호 작용하여 세부 정보를 공유한다고 합니다. 이러한 증가 추세를 반영하는 최근 사건은 사이버 범죄 정보 제공업체인 허드슨 록이 5월 31일에 게시한 자세한 블로그 게시물과 관련이 있습니다. 이 게시물에서는 위협 행위자가 스노우플레이크를 성공적으로 침해한 방법을 자세히 설명하고 있으며, 샌탠더 은행과 티켓마스터도 침해한 위협 행위자와 텔레그램 대화를 나눴다고 주장합니다.
이후 삭제된 이 블로그 게시물에서는 위협 행위자가 도난당한 자격 증명을 사용하여 스노우플레이크 직원의 ServiceNow 계정에 로그인하여 OKTA를 우회한 방법을 설명했습니다. 블로그 게시물에 따르면 공격자는 스노우플레이크의 시스템에 침투한 후 스노우플레이크의 시스템을 통해 감지되지 않고 이동하여 방대한 양의 데이터를 유출할 수 있는 세션 토큰을 생성했다고 합니다.
단일 인증은 공격의 주요 목표입니다
스노우플레이크는 기본적으로 단일 인증으로 플랫폼을 구성합니다. 문서에 따르면 “기본적으로 MFA는 개별 스노우플레이크 사용자에 대해 활성화되어 있지 않습니다. 보다 안전한 로그인을 위해 MFA를 사용하려면 스노우플레이크 웹 인터페이스를 사용하여 등록해야 합니다.” 크라우드스트라이크, 맨디언트 및 스노우플레이크는 단일 인증을 활성화한 사용자를 대상으로 하는 표적 캠페인의 증거를 발견했습니다. 6월 2일 커뮤니티 포럼 업데이트에 따르면 위협 행위자는 “이전에 구입했거나 정보 유출 맬웨어를 통해 얻은 자격 증명을 활용하고 있습니다.” CISA는 또한 모든 스노우플레이크 고객에게 경고를 발표했습니다.
스노우플레이크, 크라우드스트라이크 및 맨디언트는 공격자가 이전 스노우플레이크 직원의 개인 자격 증명을 얻어 데모 계정에 액세스한 것으로 확인했습니다. 데모 계정에는 민감한 데이터가 포함되어 있지 않았으며 스노우플레이크의 운영 또는 회사 시스템에 연결되어 있지 않았습니다. 스노우플레이크의 회사 및 운영 시스템과 달리 데모 계정이 Okta 또는 다중 인증(MFA)을 사용하지 않았기 때문에 액세스가 발생했습니다. 스노우플레이크의 최신 커뮤니티 포럼 업데이트에서는 고객 침해가 스노우플레이크 플랫폼의 취약점, 잘못된 구성 또는 침해로 인해 발생했다는 증거는 없다고 주장합니다.
수천만 명이 ID 보안 악몽에 직면해 있습니다
은행 역사상 가장 큰 침해 사건 중 하나에서 최대 3천만 명의 샌탠더 은행 고객의 신용 카드 및 개인 데이터가 유출되었습니다. 또한 엔터테인먼트 대기업을 대상으로 한 별도의 침해 사건으로 5억 6천만 명의 티켓마스터 고객의 데이터가 유출되었습니다. 도난당한 데이터 세트에는 고객 이름, 주소, 이메일, 전화번호 및 신용 카드 정보가 포함되어 있습니다. 위협 행위자 샤이니헌터스는 FBI가 이전에 폐쇄했던 해킹 포럼인 브리치포럼을 다시 찾아 5억 6천만 명의 티켓마스터 고객 데이터를 50만 달러에 판매했습니다.
브리치포럼에서 판매용으로 광고된 5억 6천만 개의 티켓마스터 고객 기록. 출처: Malwarebytes Labs, Ticketmaster confirms customer data breach, 2024년 6월 1일.
와이어드는 Sp1d3r라는 핸들을 사용하는 또 다른 브리치포럼 계정이 스노우플레이크 사건과 관련이 있다고 주장하는 두 회사의 데이터를 게시했다고 보도했습니다. 여기에는 3억 8천만 명의 고객 정보를 보유하고 있다고 Sp1d3r가 말하는 자동차 대기업 어드밴스 오토 파츠와 1억 9천만 명의 고객 프로필 및 ID 데이터를 포함하고 있다고 주장하는 금융 서비스 회사 렌딩트리와 자회사 쿼트위저드가 포함됩니다.
샌탠더 및 티켓마스터의 피해 관리 계획: 투명성을 최우선으로
CISO와 보안 책임자가 비즈니스 운영에 중대한 영향을 미칠 수 있는 모든 사건을 공개하는 것을 얼마나 중요하게 생각하는지 반영하듯 샌탠더와 티켓마스터는 제3자 클라우드 데이터베이스 환경에 대한 무단 액세스를 신속하게 공개했습니다.
티켓마스터의 소유주인 라이브 네이션은 금요일에 미국 증권거래위원회(SEC)에 8-K를 제출하여 5월 20일에 제3자 클라우드 데이터베이스 환경에서 무단 활동을 처음 발견했으며 업계 최고의 법의학 조사관과 함께 조사를 시작했다고 밝혔습니다. 라이브 네이션 8-K는 5월 27일에 “범죄 위협 행위자가 회사 사용자 데이터라고 주장하는 것을 다크 웹을 통해 판매용으로 제공했습니다.”라고 덧붙였습니다.
라이브네이션은 8-K에서 “우리는 사용자와 회사에 대한 위험을 완화하기 위해 노력하고 있으며 법 집행 기관에 이를 통보하고 협조하고 있습니다. 또한 적절한 경우 개인 정보에 대한 무단 액세스와 관련하여 규제 당국 및 사용자에게 통지하고 있습니다.”라고 밝혔습니다.
샌탠더의 성명서는 “최근 제3자 제공업체에서 호스팅하는 샌탠더 데이터베이스에 대한 무단 액세스를 인지하게 되었습니다.”라고 시작하여 5월 31일 금요일 라이브 네이션이 8-K 서류에 포함시킨 내용과 일치합니다.
과도한 신뢰로 인해 ID 공격이 급증하고 있습니다
공격자가 두 번의 침해 사건에서 귀중한 ID 데이터가 포함된 거의 6억 개의 고객 기록을 추출할 수 있다고 확신하는 경우 이제 ID를 인증하고 보호하는 방법을 개선해야 합니다. 인증 및 ID 및 액세스 관리(IAM) 시스템에서 가정된 신뢰도가 높을수록 침해 가능성이 높아집니다.
제로 트러스트의 초석 중 하나는 이미 침해가 발생했으며 공격자가 조직의 네트워크를 통해 측면으로 이동하고 있다고 가정하는 것입니다. 기업의 78%는 올해 ID 기반 침해가 비즈니스 운영에 직접적인 영향을 미쳤다고 답했습니다. 침해된 회사 중 96%는 이전에 ID 기반 제로 트러스트 보호 조치를 채택했다면 침해를 피할 수 있었을 것이라고 생각합니다. IAM은 제로 트러스트에 필수적인 것으로 간주되며 미국 국립표준기술연구소(NIST) SP 800-207 제로 트러스트 프레임워크의 일부입니다. ID 보안 및 관리는 바이든 대통령의 행정 명령 14028의 핵심입니다.
VentureBeat는 더 많은 IT 및 보안 팀이 회사 전체에서 고급 사용자 인증 방법을 평가하고 표준 및 비표준 애플리케이션 활성화를 보다 철저하게 처리하고 있음을 알게 되었습니다. 암호 없는 인증을 평가하는 데 대한 관심과 개념 증명이 증가하고 있습니다. “암호 없는 인증의 출현에도 불구하고 암호는 많은 사용 사례에서 지속되고 있으며 여전히 위험과 사용자 불만의 주요 원인으로 남아 있습니다.”라고 가트너 IAM 리더의 사용자 인증 가이드에서 VP 애널리스트인 앤트 앨런과 수석 애널리스트인 제임스 후버가 썼습니다.
CISO는 VentureBeat에 인증 강화 및 IAM 강화를 위한 목표는 다음과 같다고 말합니다.
- 가능한 한 빨리 모든 ID에 대한 지속적인 인증을 달성하고 확장합니다.
- 자격 증명 위생 및 순환 정책을 보다 자주 시행하면 차세대 클라우드 기반 IAM, PAM 및 IGA 플랫폼의 채택이 가속화됩니다.
- 업계에 관계없이 사용자가 독립적으로 로드할 수 있는 앱을 강화하고 검증되고 테스트된 앱 및 게시자 목록만 선택합니다.
- 모든 ID, 액세스 자격 증명 및 엔드포인트의 모든 활동을 모니터링하기 위해 AM 시스템 및 플랫폼에 점점 더 의존합니다.
- 보다 많은 외부 사용 사례를 통해 사용자 셀프 서비스, BYOI(Bring-Your-Own-Identity) 및 비표준 애플리케이션 활성화를 개선합니다.
CISO는 모든 기기에서 적응형 인증을 보장하는 동시에 사용자를 좌절시키지 않도록 직관적으로 설계된 암호 없는 인증 시스템이 필요합니다. 암호 없는 인증 솔루션을 제공하는 주요 공급업체로는 Microsoft Authenticator, Okta, Duo Security, Auth0, Yubico 및 Ivanti의 Zero Sign-On(ZSO)이 있습니다.