미국 사이버보안 및 인프라보안국(CISA)이 퇴사자 계정이나 접속을 위한 토큰을 제대로 관리하지 않아 해킹이 발생할 수 있다고 지난해 경고한 것으로 확인됐다. 최근 쿠팡의 대규모 개인정보 유출도 퇴사자의 접속 권한 관리 소홀일 가능성이 불거지면서 예고된 사고였다는 평가가 나온다.
3일 보안 업계에 따르면, CISA는 지난해 2월 사이버 경보 보고서(AA24-046A)를 통해 ‘퇴사자 계정을 이용한 주(州)정부 해킹 사례’ 분석 결과를 내놨다. 한 주정부 기관의 전직 직원 계정을 이용해 서버에 접속, 데이터를 추출한 뒤 수집된 정보를 다크웹에 판매한 것으로 드러났다.
CISA는 “해킹범은 제대로 삭제되지 않은 전직 직원 계정을 포함한 유효 계정을 악용한다”며 초기 침입 단계에서 이런 사례가 빈번하다고 설명했다.
3일 보안 업계에 따르면, CISA는 지난해 2월 사이버 경보 보고서(AA24-046A)를 통해 ‘퇴사자 계정을 이용한 주(州)정부 해킹 사례’ 분석 결과를 내놨다. 한 주정부 기관의 전직 직원 계정을 이용해 서버에 접속, 데이터를 추출한 뒤 수집된 정보를 다크웹에 판매한 것으로 드러났다.
 |
CISA는 지난해 2월 퇴사자 계정을 이용한 주(州)정부 해킹 사례를 발표하면서, 사이버 경보를 내렸다. CISA는 퇴사자나 휴면 등 더 이상 필요하지 않은 개인, 그룹 계정을 지속적으로 제거해야 한다고 권고했다. /CISA 홈페이지 캡쳐 |
CISA는 “해킹범은 제대로 삭제되지 않은 전직 직원 계정을 포함한 유효 계정을 악용한다”며 초기 침입 단계에서 이런 사례가 빈번하다고 설명했다.
CISA는 더는 필요하지 않은 계정과 그룹, 특히 관리자 계정을 지속해서 제거하고 비활성화하라고 조언했다. ▲퇴사자 계정을 신속히 삭제하는 사용자 관리 프로세스 도입 ▲원격 접속·관리자 계정에 다중인증(MFA) 의무화 ▲장기간 로그인 이력이 없는 휴면 계정을 정기적으로 찾아내 비활성화 등을 핵심 과제로 제시했다.
보안 전문가들은 쿠팡의 이번 개인정보 유출 사태가 CISA가 제시한 기본 과제들을 지키지 않아 벌어진 일로 본다. 현재까지 정부 조사 결과, 올해 6월 24일부터 11월 18일까지 이름·이메일·전화번호·주소·주문 내역 등 3370만 쿠팡 회원 정보가 빠져나갔다.
이 과정에서 공격자가 로그인 없이 고객 데이터에 여러 차례 비정상적으로 접속하면서 인증용 토큰을 전자 서명하는 암호 키를 활용한 것으로 나타났다. 쿠팡 인증 시스템을 담당했던 전직 중국 국적 개발자의 소행일 가능성을 염두에 두고 수사가 진행 중인 배경이다.
최민희 국회 과학기술정보방송통신위원회 위원장은 쿠팡이 암호 키 유효 기간을 장기 방치한 것을 개인정보 유출 원인으로 꼽기도 했다. 그는 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 조직적·구조적 문제의 결과”라고 했다.
쿠팡만의 문제는 아니다. 국내 기업 중 다수가 여전히 임직원 퇴사 때 인사 시스템만 정리할 뿐, 클라우드·서버 등에 접근할 수 있는 권한과 토큰 등을 일괄 회수하는 ‘오프보딩(off-boarding)’ 체계를 갖추지 못하고 있다. 쿠팡도 인사 부서와 개발 부서 간 협업이 제대로 이뤄지지 않아 오프보딩 체계에 공백이 생긴 것으로 전해졌다.
퇴직자 권한 관리라는 기초 보안에 구멍이 뚫리면 아무리 보안 인프라 투자를 늘려도 소용이 없다고 입을 모은다. 한 보안 전문가는 “퇴사한 뒤에도 접근 권한을 방치하면 회사가 ‘유령 출입증’을 만들어주는 셈”이라며 “유사한 사례가 전 세계에서 나타나고 있는 만큼 기초 절차를 점검할 때”라고 했다.
이호준 기자(hjoon@chosunbiz.com);김관래 기자(rae@chosunbiz.com)
<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.