사이버 보안 및 권한 관리(PAM) 전문 기업 비욘드트러스트(BeyondTrust)가 원격 지원 SaaS(Remote Support SaaS) 인스턴스가 보안 침해를 당했다고 발표했다. 이번 공격으로 인해 API 키가 탈취되어 일부 고객 환경이 영향을 받았다. 이 사건은 API 보안과 클라우드 서비스 보호의 중요성을 다시 한번 보여주는 사례로 주목받고 있다.
비욘드트러스트는 지난 12월 2일 네트워크에서 비정상적인 활동이 탐지된 후 조사를 시작했다. 조사 결과, 공격자가 원격 지원 SaaS API 키를 탈취해 로컬 애플리케이션 계정의 비밀번호를 재설정할 수 있었던 것으로 드러났다.
회사는 12월 5일 해당 API 키를 즉시 폐기하고, 영향을 받은 고객들에게 알렸다. 또한, 문제가 발생한 인스턴스를 일시적으로 중단하고 대체 원격 지원 SaaS 인스턴스를 제공하며 신속히 대응했다.
현재까지 공격자가 탈취한 인스턴스를 이용해 추가적인 고객 시스템에 접근했는지는 확인되지 않았다. 비욘드트러스트는 외부 사이버 보안 전문가와 협력해 추가 조사를 진행 중이다.
사건 조사 중 비욘드트러스트는 두 가지 보안 취약점을 확인했다.
첫 번째 취약점은 원격 지원(RS) 및 권한 원격 접근(PRA) 제품에서 명령 주입(Command Injection) 공격이 가능하게 하는 문제로, 이로 인해 인증되지 않은 공격자가 시스템 명령을 실행할 수 있었다. 이 취약점은 CVE-2024-12356으로 추적되고 있다.
두 번째 취약점은 관리자 권한을 가진 공격자가 악성 파일을 업로드하고 명령을 실행할 수 있는 중간 수준의 보안 결함이다. 이는 CVE-2024-12686으로 명명되었다.
비욘드트러스트는 이 두 가지 취약점이 이번 침해 사건에 사용되었는지는 확인하지 못했지만, 미국 사이버보안 및 인프라 보안국(CISA)은 CVE-2024-12356이 실제 공격에서 악용되었다고 밝혔다.
비욘드트러스트는 모든 클라우드 기반 인스턴스에 자동으로 보안 패치를 적용했으며, 자체 호스팅(Self-hosted) 환경을 사용하는 고객에게는 직접 업데이트를 적용하도록 권고했다.
비욘드트러스트는 사건 발생 이후 투명한 대응을 강조하며 고객 보호에 집중하고 있다고 밝혔다. 회사는 영향을 받은 고객 인스턴스를 업데이트하고 보안을 강화하는 데 주력하고 있다. 또한, 외부 보안 전문가와 협력하여 사건의 근본 원인을 철저히 분석하고 있다.
현재까지 회사는 랜섬웨어 배포의 증거를 발견하지 못했다고 밝혔다. 그러나 취약점이 이번 사건과 직접적으로 연관되었는지에 대해서는 추가 확인이 필요한 상황이다.
사이버 보안 전문가들은 이번 사건을 통해 API 보안의 중요성을 강조했다. 특히 다음과 같은 점을 교훈으로 삼아야 한다고 지적했다.
-API 보안 강화: API 키 관리의 취약점은 자주 악용되는 공격 벡터다. API 키의 주기적인 교체, 다단계 인증(MFA), 요청 제한 등의 보안 조치가 필수적이다.
-정기적인 취약점 점검: 시스템의 보안 취약점을 사전에 발견하고 해결하기 위해 지속적인 보안 점검과 모의 해킹 테스트가 필요하다.
-제로 트러스트(Zero Trust) 아키텍처 도입: 사용자와 기기의 철저한 검증을 기반으로 하는 제로 트러스트 모델은 보안 사고의 영향을 최소화할 수 있다.
-신속한 사고 대응: 비욘드트러스트의 빠른 API 키 폐기와 고객 알림 조치는 피해를 제한하는 데 효과적이었다. 전문가들은 체계적인 사고 대응 계획의 중요성을 강조했다.
-고객 교육 강화: 특히 자체 호스팅 솔루션을 사용하는 고객에게는 보안 패치 적용 및 안전한 설정 유지에 대한 교육이 필요하다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★