기업 비밀번호 금고 ‘원로그인’, 보안 침해 사고 났다

미국 ‘원로그인’, 싱글사인온(SSO) 서비스 침해돼
한 업체에 비밀번호 관리 몽땅 맡겨두면 위험 커져
비밀번호 관리업체 선정할 때도 보다 신중해야

[보안뉴스 오다인 기자] 미국 기업 ‘원로그인(OneLogin)’은 실시간 신원 관리 및 비밀번호 관리 단순화 서비스 등을 제공하는 클라우드 애플리케이션 개발사인데, 이번 주 보안 침해 사건이 발생했다. 이번 사건은 기업들이 비밀번호 관리 서비스 하나를 통해 로그인 크리덴셜을 관리할 때 어떤 문제들이 발생하는지 상기시킨다.

[이미지=iclickart]

지난 수요일, 원로그인 CISO 알바로 호요스(Alvaro Hoyos)는 원로그인의 미국 데이터에 승인되지 않은 접근이 감지됐다고 짤막하게 밝혔다. 호요스는 침해된 정보나 침해 사건의 특징 등에 대해 밝히지 않았다. 호요스는 원로그인의 대표 서비스인 ‘싱글사인온(SSO: Single Sign-On)’ 고객 중에서 얼마나 많은 사람이 침해당했으며, 클라우드 신원 관리 서비스는 또 어떻게 침해됐는지와 관련해서도 정보를 제공하지 않았다.

원로그인은 고객들에게 이번 주 보낸 이메일을 통해, 원로그인의 미국 데이터 센터에서 서비스 받는 모든 고객들이 이번 사건의 영향권 안에 있다고 말했다. 전 세계적으로 2천 개 이상의 기업들이 원로그인의 비밀번호 관리 서비스를 사용하고 있는데 이 중 얼마나 많은 기업이 미국 데이터 센터에 속하는지, 그런 기업 전체가 침해된 것인지 등에 대해선 아직 밝혀진 바 없다.

침해된 정보에는 암호화된 고객 정보를 푸는 키들이 포함돼있다고 원로그인은 이메일에서 설명했다. 이 같은 사실은 기술 전문 매체 마더보드(Motherboard)가 침해를 겪은 고객들로부터 확인했다.

또한 원로그인은 이메일을 통해, 범죄자에게 노출되는 정도를 최소화하기 위해 고객들이 실행해야 할 일의 목록을 길게 작성해 포함시키기도 했다. 원로그인이 안내한 절차 중에는 1) SAML과 SSO를 사용하는 애플리케이션 인증서를 새로 발행하라는 것, 2) API와 OAuth API 키를 새로 발행하라는 것, 3) 디렉토리 토큰과 데스크탑 SSO 토큰을 새로 발행하라는 것 등이 포함됐다. 이와 더불어 원로그인은, 기업들이 애플리케이션 접근에 SSO를 사용했다면 자사 고객에게 비밀번호 재설정을 촉구할 것도 주문했다.

원로그인이 고객에게 지시한 바를 통해 짐작해볼 때, 원로그인은 아직 침해 정도를 파악하고 있는 중이며 최대한 신중히 일을 처리하고자 하는 것으로 보인다고 보안 전문업체 배로니스 시스템즈(Varonis Systems)의 현장 기술 부사장 켄 스피너(Ken Spinner)는 말했다.

“만약 제가 원로그인 고객이었다면, 최악의 상황을 가정하고 그에 맞게 행동할 것입니다.” 스피너는 이렇게 밝힌다. “기업이 사건 초반에는 소수 고객에 침해가 국한될 것이라고 발표하고, 이후 그 정도가 훨씬 더 심각하다는 걸 깨닫는 경우가 많이 있었기 때문입니다.”

이번 침해 사건이 상기시키는 건 더 있다. 기업들이 자사의 모든 비밀번호를 단 하나의 업체에 맡겨두는 것의 위험성을 말이다. 보안 전문가들은 일반적으로 최선의 시행 방법이 비밀번호 관리자를 활용하는 것이라고 말하는데, 비밀번호 관리자 기술로 기업이 강력한 비밀번호를 사용하고 강화하도록 돕기 때문이다. 하지만 비밀번호 관리자 역시 침해당할 수 있는, 단 하나의 지점이 될 수 있다는 건 큰 단점이다.

“원로그인이나 이와 유사한 서비스들은 해커들에게 ‘인생템’이라고 할 수 있습니다.” 보안 업체 파이어몬(FireMon)의 CTO 폴 깔라따유드(Paul Calatayud)는 말한다. “보안 마인드가 있는 회사나 개인들은 비밀번호 관리의 번거로움을 줄이기 위해, 매우 복잡한 비밀번호를 가진 하나의 마스터키를 만드는 이런 서비스에 의존하고 있습니다.”

이런 비밀번호 금고에 접근하는 해커는 자동적으로 그런 회사와 개인들이 사용하는 모든 계정에 대해서도 접근권을 얻게 되는 것이라고 깔라따유드는 지적한다.

원로그인을 사용하는 회사와 개인들은 자사 시스템에 저장된 비밀번호를 하나씩 전부 다 바꿔야 할 것이다. 또한, 예방책으로 자사의 자산들을 주의 깊게 살펴보는 일도 잊지 않아야 한다. 깔라따유드는 “어떤 계정에 대해서도 두 가지 요소를 사용해야만 접근할 수 있도록 설정돼야 한다. 이렇게 하면 도난된 비밀번호의 쓸모가 줄어들며, 보안도 더 강화된다”고 설명했다.

보안 전문업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 연구 관리자 존 밤베넥(John Bambenek)은 원로그인이 고객에게 지시한 내용에서 설계 결함이 드러났다고 지적했다.

이번 일과 같은 사건들은 왜 기업이 중요한 인프라 정보를 수탁하는 업체를 보다 적절히 검토해야만 하는지 그 필요성을 보여준다. “이번 경우, 어떤 기업이 원로그인과 사업을 했다는 점을 나무라긴 어렵습니다. 원로그인은 대단한 명성을 갖고 있고, 유명한 투자자들에게 건전하게 자금을 받고 있으며, 상대적으로 깨끗한 보안 기록을 갖고 있었기 때문입니다.” 밤베넥은 말한다.

그러나 일반적으로 말하자면, 비밀번호 관리 서비스를 고려하는 기업들은 생각하고 있는 업체들의 역대 보안 기록을 꼼꼼히 살펴봐야 할 필요가 분명히 있다. 배로니스의 스피너는 “서비스 업체가 외부 업체를 통해 보안 상태를 시험하고 있는지 물어보는 것도 좋은 방법”이라고 말한다. “침투 실험을 하는지, 버그바운티 프로그램에 참여하는지 물어보면서 해당 업체가 침해 사건이 발생하기 전에 잠재적인 취약점들을 적극적으로 발견하고 해결할 수 있을지 확인해야 합니다.”

서비스 업체가 사용하는 해시 함수 알고리즘과 같은 기술적 이슈들을 이해하는 것도 중요하다. 비밀번호 금고를 어떻게 저장하는지, 고객 정보를 저장하는 서버에는 어떤 보안 제어 기술을 사용하는지 등을 이해할 수 있어야 한다고 스피너는 지적했다.
[국제부 오다인 기자(boan2@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다