2022년 1월 Okta의 보안 조사 보고서

태평양 표준시 8:50 AM에 업데이트 게시됨

++

2022년 3월 21일 약 24시간 전, Okta의 외부 고객 지원 엔지니어 중 한 명의 컴퓨터에서 캡처된 몇 장의 스크린샷이 온라인에 게시된 사건이 발생했습니다. 이번 스크린샷 유출로 저를 비롯한 Okta 팀원 모두 당혹스러움을 감추지 못했습니다.

저는 이 게시글에서 이번 사건을 시간 순으로 설명드리고 이에 대한 제 사견을 덧붙이며 현재 조사 진행 상황을 알려드리고자 합니다. 이 게시물을 읽고, Okta 서비스가 이번 사고에서 전혀 타격을 받지 않았으며, 따라서 고객 여러분이 따로 조치를 취할 필요가 전혀 없음을 자신 있게 말씀드립니다.

여느 SaaS 제공업체와 마찬가지로 Okta는 백그라운드 방식으로 여러 기업(이하 "협력업체")을 이용해 인력을 확장하고 있습니다. 이들 기관은 고객에게 Okta 제품을 제공하여 고객의 비즈니스 성공을 돕는 데 일조하고 있습니다. Sykes를 인수한 Sitel 그룹은 Okta의 협력업체로써, 당사의 고객 지원 부서에 계약 직원을 파견하고 있습니다.

2022년 1월 20일, Okta 보안 팀은 Sitel 소속 고객 지원 엔지니어의 Okta 계정에 새로운 MFA 인증 요소를 추가하려는 시도가 감지되었다는 경보를 받았습니다. 비록 해당 시도는 무위에 그쳤지만, Okta에서는 예방 차원에서 해당 계정을 리셋하였고 유명 포렌식 회사에 소속된 Sitel 담당자에게 이 사실을 알려 조사에 응할 것을 요청했습니다.

사건의 주요 단계를 시간 순으로 나열하면 다음과 같습니다.

타임라인(UTC 시간 기준)

• 2022ë…„ 1ì›” 20일 23:18 - Okta 보안 팀은 새로운 위치에서 Sitel 직원의 Okta 계정에 새 MFA 인증 요소가 추가되었다는 경보를 수신
• 2022ë…„ 1ì›” 20일 23:46 - Okta 보안팀은 해당 경보를 조사하여 보안 사고 처리 팀으로 사건을 인계
• 2022ë…„ 1ì›” 21일 00:18 - 해당 사건에 Okta Service Deskê°€ 투입되어 사용자 계정 중지 ìž‘ì—… 지원
• 2022ë…„ 1ì›” 21일 00:28 - Okta Service Desk는 해당 사용자의 Okta 세션을 종료하고 의심스러운 활동의 근본 원인을 식별하여 수습할 때까지 해당 계정 중지
• 2022ë…„ 1ì›” 21일 18:00 - Okta 보안 팀은 보안 공격 지표를 Sitelê³¼ 공유 Sitel 측에서 유명 포렌식 회사로부터 외부 지원을 받고 있음을 공지
• 2022ë…„ 1ì›” 21일 ~ 3ì›” 10일 - 포렌식 회사가 2022ë…„ 2ì›” 28일까지 해당 사건을 조사하여 분석을 마쳐 2022ë…„ 3ì›” 10일에 Sitel에게 ë³´ê³ ì„œ 제출
• 2022ë…„ 3ì›” 17일 - Okta는 Sitel 측으로부터 사건에 대한 요약 ë³´ê³ ì„œ 수신
• 2022ë…„ 3ì›” 22일 03:30 - LAPSUS$ë¡œ 스크린샷이 온라인에 공개
• 2022ë…„ 3ì›” 22일 05:00 - Okta 보안 팀은 해당 스크린샷이 1월에 Sitel 측에서 발생한 사건과 연관이 있음을 인지
• 2022ë…„ 3ì›” 22일 12:27 - Okta는 Sitel 측으로부터 최종 조사 ë³´ê³ ì„œ 전달받음

저는 그간 Sitel에게 사건 경위를 알리고 최종 조사 보고서를 받기까지 꽤 오랜 시간이 걸려 큰 실망감을 느꼈습니다. 돌이켜보면, Sitel에게서 요약 보고서를 받았을 때 그에 따른 영향을 파악하도록 좀 더 발빠르게 움직였어야 하지 않나 생각해봅니다.

저희가 조사를 통해 내린 결론은, Sitel 측의 요약 보고서에 기재되지 않았던 해당 스크린샷은 공격자가 RDP를 사용하여 Sitel의 지원 엔지니어가 사용하는 컴퓨터에 원격 액세스 권한을 얻어서 캡쳐되었다는 것입니다. 해당 디바이스는 Sitel에서 소유하여 관리하던 것이었습니다. 이 시나리오는 마치 커피숍에서 컴퓨터를 하다 잠시 자리를 비웠는데 마침 낯선 사람이 내 자리에 앉아서 마우스와 키보드를 조작하는 상황과 같습니다. 즉 해당 공격자는 계정 탈취 시 Okta 서비스에 대한 액세스 권한을 확보하지는 못했지만 Okta 서비스에 로그인 되었던 기기가 보안 공격에 노출되는 바람에 공격자가 스크린샷을 캡쳐하고 RDP 세션을 통해 기기를 제어할 수 있게 된 것입니다.

여기서 알아두어야 할 중요한 사실은 지원 엔지니어가 보유하고 있는 액세스 권한이 유입되는 지원 문의사항을 처리하는 기본적인 업무로 제한되어 있다는 것입니다. 지원 엔지니어들은 Jira, Slack, Splunk, RingCentral에 대한 Okta 인스턴스와 Salesforce를 통한 지원 티켓 등 다수의 고객 지원 툴을 사용하여 업무를 처리하고 있습니다. 대부분의 지원 엔지니어링 작업이 자체 개발된 애플리케이션, 일명 SuperUser(줄여서 SU)를 사용하여 수행되는데, 이 앱은 Okta 고객 테넌트에 대한 기본 관리 기능을 수행하는 데 사용됩니다. 하지만 이 앱은 모든 사용자에게 "전지 전능한 액세스"를 제공하지는 않습니다. 이 앱은 지원 엔지니어가 자신의 직무를 수행하는 데 필요한 특정 액세스 권한만 갖도록 최소 권한 원칙을 바탕으로 설계된 것입니다. 따라서 이 엔지니어들은 사용자의 계정을 생성하거나 삭제할 수 없습니다. 고객의 데이터베이스를 다운로드할 수도 없습니다. Okta의 소스 코드 리포지터리에도 액세스할 수 없습니다.

포렌식 회사의 보고서에 따르면, 2022년 1월 16 ~ 21 사이 5일 동안 공격자가 Sitel의 시스템에 액세스한 것으로 밝혀졌는데, Okta는 자체 분석을 통해 해당 사실을 입증했습니다.

이번 사건의 여파를 총체적으로 파악하기 위해 Okta의 보안 팀은 최악의 시나리오를 가정하여 해당 5일 동안 Sitel 측 직원들이 SuperUser 애플리케이션에 액세스했던 모든 활동을 조사하였습니다. 지난 24시간에 걸쳐 12만 5천 건 이상의 로그를 분석하여 해당 기간 동안 Sitel 직원들이 어떤 작업을 했는지 알아냈습니다. 조사 결과, 최대 336(약 2.5%)곳의 고객사가 보유한 Okta 테넌트를 Sitel 직원이 액세스한 것으로 나타났습니다.

해당 테넌트에 대한 지원 엔지니어들의 액세스로 인해 해당 정보와 조치가 제한되었습니다. 고객에게 반드시 필요한 절차는 아니지만 저희는 고객이 자체 분석을 완료해야 할 수 있음을 충분히 예상하고 있습니다. 사태를 보다 투명하게 파악하실 수 있도록 위와 같은 고객에게는 해당 기간 동안 Sitel 직원들이 고객의 Okta 테넌트에서 수행한 작업 내역을 보여주는 보고서를 보내드릴 예정입니다. 저희는 이것이 고객 여러분이 사태를 직접 파악하실 수 있는 최선의 방법이라고 생각합니다.

여러 보안 사태를 겪으면서 저희는 프로세스와 소통 방식을 개선할 여지를 두루 갖게 되었습니다. 저는 Okta가 올바른 방향으로 나아가고 있으며 이번 사건이 보안을 더욱 굳건히 하는 계기가 되리라고 자신합니다.

1월 절충안에 대한 이전 업데이트와 공식 성명을 보려면 여기를 클릭해 주세요. https://www.okta.com/kr/blog/2022/03/updated-okta-statement-on-lapsus/