지난 10월, 아이덴티티 보안 기업 옥타(Okta)의 고객 지원 시스템이 해킹당하는 사고가 있었다. 최근 공개된 정보에 따르면 당시 침입한 해커들은 134개의 고객사 파일에 액세스한 것으로 알려졌다.
옥타는 “10월 19일 목요일, 옥타는 고객에게 보안 사고에 대해 알렸다. 조사를 완료한 결과 2023년 9월 28일부터 2023년 10월 17일까지 공격자가 옥타 고객 중 1% 미만인 134개의 고객사와 관련된 옥타 고객 지원 시스템 내부 파일에 무단으로 액세스한 것을 확인할 수 있었다"고 공지했다.
해커가 액세스한 파일 중 일부는 세션 토큰이 포함된 HAR(HTTP Archive) 파일이다. 해커는 이 세션 토큰을 사용하여 다섯 고객사의 합법적인 옥타 세션을 탈취할 수 있었다. 이 중 Cloudflare, 1Password, BeyondTrust의 세 고객사는 이 이벤트에 대한 자체 대응을 공유했다.
옥타는 사이버 공격자들이 지원 사례 관리 시스템에 침입하여 쿠키 및 세션 토큰을 포함한 인증 데이터를 훔쳤으며 이는 향후 공격에 악용되어 유효한 사용자를 사칭하는 데 사용될 수 있다고 말했다.
공격자들은 시스템 자체에 저장된 서비스 계정을 활용하여 옥타의 고객 지원 시스템에 액세스했다. 이 서비스 계정에는 고객 지원 사례를 보고 업데이트할 수 있는 권한이 부여되어 있다. 옥타 보안팀은 한 직원이 옥타가 관리하는 노트북의 크롬 브라우저에서 개인 구글 프로필에 로그인한 흔적을 확인했다.
옥타는 유출된 서비스 계정을 비활성화하고 옥타가 관리하는 기기에서 구글 크롬을 개인 프로필로 사용하는 것을 차단했다. 이와 함께 고객 지원 시스템에 추가 탐지 및 모니터링 규칙을 적용하고 네트워크 위치에 따라 옥타 관리자 세션 토큰을 바인딩했다.
이번 주, 옥타는 약 5천 명의 직원에게 서드파티 공급업체인 Rightway Healthcare의 데이터 유출로 인해 개인정보가 노출되었다고 경고하기도 했다.
한편, 옥타는 2022년 12월에도 비공개 GitHub 리포지토리가 해킹당한 전례가 있다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
