비밀 인터넷 포럼(BreachForums의 또 다른 재등장)에서는 현재 1.3테라바이트의 티켓마스터 고객 데이터를 확보했다고 주장하는 해킹 집단 ShinyHunters가 광고를 하고 있습니다.
샤이니헌터스(샤이니코프)는 2020년에 처음 등장한 글로벌 사이버 범죄 조직입니다. 이 집단은 수많은 유명 데이터 침입을 실행한 것으로 빠르게 악명을 떨쳤습니다. 포켓몬에서 유래한 기발한 별명은 순수한 취미 활동가들을 암시하지만, 샤이니헌터는 광범위한 데이터 저장소의 유출과 수익 창출에 중점을 두고 디지털 불법 행위에 깊이 관여하고 있습니다.
이 신디케이트의 활동은 수많은 불법 기업이 숨어 있는 인터넷의 영역인 다크 웹에 스며들어 있습니다. 이 국제적인 위협 그룹은 최근 가장 중요하고 주목할 만한 대규모 데이터베이스 침입 사건의 배후에 있는 것으로 알려져 있습니다.
현재 이들은 전 세계 티켓마스터 고객 5억 6천만 명의 개인 정보를 보유하고 있다고 주장하며 단일 거래 구매 시 미화 50만 달러에 판매하고 있습니다.
샤이니헌터스는 정교한 디지털 침입 기법과 광범위한 데이터 침해로 명성을 얻고 있습니다. 이 그룹의 해킹 접근 방식은 체계적인 계획과 교묘한 실행을 결합하여 디지털 인프라의 취약점을 침투하고 악용하기 위한 다양한 전략을 사용합니다.
샤이니헌터의 일반적인 운영 방식은 다음과 같습니다:
- 사기성 이메일로 피해자를 유인하여 로그인 자격 증명을 탈취하는 정교한 피싱 수법을 배포하여 사기 캠페인을 조율합니다.
- 보안이 취약한 온라인 데이터 저장소를 이용하기 위해 보안되지 않은 클라우드 저장소를 표적으로 삼는 것은 보안이 취약한 디지털 금고를 습격하는 것과 비슷합니다.
- 웹 플랫폼과 개발 도구에 침투하여 손상시키고, 로그인 정보나 애플리케이션 프로그래밍 인터페이스(API) 키를 탈취하여 중요한 데이터를 훔치는 경우가 많습니다.
- 회사 코드 저장소에 악용 가능한 결함이 있는지 면밀히 조사하여 무단 데이터베이스 액세스를 허용할 가능성이 있는 GitHub 저장소를 조사합니다.
- 은밀한 네트워크를 통해 불법 정보를 찾는 구매자를 대상으로 모호한 인터넷 마켓플레이스에서 훔친 데이터를 거래하여 수익을 창출합니다.
그림 1. 샤이니헌터의 티켓마스터 판매 게시물.
이러한 사고가 발생하는 이유는 무엇인가요?
공격자는 정보 탈취 멀웨어를 사용하여 스노우플레이크 직원으로부터 로그인 자격 증명을 획득한 것으로 추정됩니다. 액세스 권한을 얻은 후 공격자는 탈취한 자격 증명으로 세션 토큰을 생성했습니다. 그 후 이 토큰을 이용해 스노우플레이크의 시스템에서 상당한 양의 고객 데이터를 추출했습니다.
공격이 발생한 이후, Snowflake는 플랫폼 내 취약점이나 잘못된 구성에 대한 모든 의혹을 반박하며 이번 침해가 Snowflake의 보안 결함보다는 고객 인증정보 유출에서 비롯된 것이라고 주장했습니다. 설상가상으로 유출된 계정에는 다단계 인증(MFA)이 없어 공격자가 합법적이고 신뢰할 수 있는 사용자인 것처럼 로그인할 수 있었습니다.
Mandiant의 사고 발생 후 보고서에 따르면 표적이 된 계정에 MFA 보안 컨트롤이 적용되어 있지 않았을 뿐만 아니라 캠페인에 사용된 인증정보 중 일부는 1년 전에 유출된 것이었습니다. 이는 특정 사용자, 신원 및 해당 자격 증명이 잠재적으로 무단 액세스를 허용할 수 있을 만큼 '신뢰할 수 있는' 것으로 간주되어 수억 개의 고객 기록이 도난당할 수 있다는 점을 강조합니다.
대부분의 조직에서 비밀번호는 여전히 널리 사용되고 있으며 앞으로도 한동안 보안의 주축이 될 가능성이 높습니다. 문제는 비밀번호가 여전히 신뢰할 수 있는 인증 수단으로 사용될 수 있는지 여부입니다.
제로 트러스트 접근 방식을 통해 사이버 보안을 강화하고 자격 증명 도용으로 인한 침해 위험을 줄이기 위해 비밀번호 없는 솔루션을 채택하는 조직이 점점 더 많아지고 있습니다. 비밀번호에만 의존하는 것은 필요한 신원 확인을 제공하지 않아 심각한 보안 위험을 초래합니다. 비밀번호를 사용하지 않는 방식으로 전환하기 전에 강력한 인증 조치부터 시작하여 필요한 단계를 이해하는 것이 중요합니다. 제로 트러스트 구현은 IT 인프라에서 선택적으로 시작하여 기술 교체 주기에 맞춰 점진적으로 확장하여 비용을 효율적으로 관리하는 경우가 많습니다. 사이버 보안 방어를 강화하고 중요한 리소스를 보다 효과적으로 보호하려면 제로 트러스트를 도입하고 비밀번호를 사용하지 않는 것이 최우선 순위가 되어야 합니다.
무엇을 할 수 있나요?
사용자 인증 정보는 디지털 보안의 핵심이며 엄격한 보호가 필요한 것이 현실입니다. 2024 Verizon 데이터 유출 보고서에 따르면 인적 오류가 유출의 68%를 차지하며, 잘못된 구성 및 관련 문제가 1/3을 차지한다고 합니다. 이러한 통계를 고려할 때, 회사 네트워크 내에서 정상적인 사용자 활동 패턴을 확립하는 보안 조치에 투자하는 것이 중요합니다. 이러한 전략을 통해 보안 담당자는 비정상적인 행동을 신속하게 식별하고 잠재적인 위협이 본격적인 침해로 발전하기 전에 대처할 수 있습니다.
현재의 위협 환경에서는 침해가 발생하느냐의 문제가 아니라 언제 발생하느냐의 문제입니다. 전 세계적으로 얼마나 많은 유명 보안 사고가 민감한 데이터 유출과 관련이 있는지 고려할 때, 포괄적인 데이터 인식 보안 플랫폼에 우선순위를 두고 투자하는 것이 중요합니다. 또한 조직 전체에 걸쳐 보안에 대한 인식과 마인드를 함양하는 것이 필수적입니다. 보안은 모든 사람의 책임이며 보안 팀에만 국한된 것이 아닙니다.
MFA는 강력한 보안의 기본 요소이며 가능한 한 모든 곳에서 사용해야 합니다. 티켓마스터 침해는 유효한 정적 자격증명(사용자 이름과 비밀번호의 조합)이 어떻게 손상되고 악용되어 온프레미스 또는 클라우드에 있는 표적 조직의 인프라에 액세스할 수 있는지를 보여주는 또 다른 예입니다(여기서는 Snowflake의 클라우드 기반 플랫폼에서 볼 수 있듯이).
티켓마스터 데이터 유출 및 관련 사건은 제로 트러스트 아키텍처 채택의 중요성을 강조합니다. 이 사건은 조직이 SaaS 애플리케이션 보안을 전반적인 보안 전략에 통합하는 데 소홀히 하는 업계의 광범위한 문제를 반영합니다. 싱글 사인온(SSO) 및 기타 액세스 관리 도구를 구현했음에도 불구하고 정적 자격 증명은 계속해서 위협 행위자의 표적이 되고 있으며, 조직의 중요한 데이터 자산을 주시하고 있는 악의적인 공격자들에게 정문을 활짝 열어두고 있습니다.
그림 2. 보안 연결을 전체적으로 중개하는 데 있어 Zero Trust network Access (ZTNA)의 효율성.
사이버 범죄자가 직원의 인증 정보를 훔치거나 악의적인 내부자가 기업 데이터에 접근하려고 시도하는 경우, 이러한 악의적인 공격자는 일반적으로 사용자가 로그인하는 것으로 프로세스를 시작합니다. 그렇기 때문에 제로 트러스트는 초기 인증 시점 이후에도 사용자(또는 요청 기관)의 컨텍스트, 상태, 활동을 모니터링하는 지속적인 인증 및 상태 확인을 활용합니다.
유효하고 검증된 인증 외에도 클라우드 애플리케이션, 서비스 또는 플랫폼 내의 데이터가 보안 및 데이터 사용 정책에 따라 처리되고 사용되고 있는지 확인하기 위해 어떤 다른 도구나 프로세스를 사용하고 계신가요? 웹, 클라우드, 비공개 애플리케이션(ZTNA), 디바이스 전반에서 데이터 보호를 통합하는 것이 중요한 이유입니다. Skyhigh Security 에서는 인라인( data loss prevention )을 사용한 심층 데이터 검사 및 분류와 함께 민감한 데이터의 부적절한 처리를 방지하는 동시에 원격 사용자가 모든 위치와 디바이스에서 협업할 수 있도록 지원하는 DLP(데이터 유출 방지)를 제공합니다. 보안팀은 가장 일반적인 채널에서 DLP와 위협 보호를 통합함으로써 민감한 데이터에 대한 엔드투엔드 가시성을 확보하고 제어할 수 있는 이점을 누릴 수 있습니다.
참조: