기업 클라우드 보안 가정이 바뀐 사건
2022년 LastPass 유출 사건은 주로 비밀번호 관리자의 이야기입니다. 이는 기업들이 가장 민감한 데이터를 클라우드 공급업체에 신뢰하고 그 신뢰가 위반될 때 발생하는 일에 대한 이야기입니다. 이는 무모함이 아니라 외부에서 보이지 않는 구현의 약점으로 인해 발생했습니다.
LastPass는 제로 지식 아키텍처를 마케팅했습니다. 그러나 실제로는 제로 지식이 아니었습니다. 2500만 사용자의 암호화된 금고가 유출되었습니다. 이 유출 사건은 2022년 8월에 처음 공개되었고, 범위가 확장됨에 따라 2022년 말까지 여러 차례 업데이트되었습니다.
의료, 금융 및 법률 서비스와 같은 데이터 노출이 규제 책임을 초래하는 분야의 기업들에게 LastPass 유출 사건은 멀리서 지켜봐야 할 고립된 사건이 아니었습니다. 이는 시스템적 문제의 미리보기였습니다.
중요한 구현 세부사항
유출 사건 후 분석에서는 두 가지 중요한 구현 약점이 드러났습니다:
반복 횟수 부족: LastPass는 키 파생을 위해 PBKDF2를 사용했습니다. 신규 계정의 경우 100,100회의 반복을 사용했으며, 이는 업계 권장 사항인 600,000회보다 낮습니다. 오래된 계정(경우에 따라 2018년 이전)의 경우 반복 횟수가 1회에 불과했습니다. 낮은 반복 횟수는 암호화된 금고에 대한 무차별 대입 공격을 계산적으로 가능하게 만듭니다. 금고를 얻은 공격자는 마스터 비밀번호를 체계적으로 해독하려고 시도할 수 있었습니다.
메타데이터 노출: 금고 내용은 암호화되었지만 메타데이터는 그렇지 않았습니다. 비밀번호 관리자에 저장된 URL, 사용자 이름 및 서비스 이름은 유출된 데이터에서 볼 수 있었습니다. 공격자는 사용자가 어떤 서비스에 계정을 가지고 있는지 식별할 수 있어, 금고 암호화 해독 없이도 표적 피싱 및 자격 증명 스터핑을 가능하게 했습니다.
클라우드 보안 공급업체를 평가하는 조달 팀에게 LastPass 사례는 두 가지 질문이 별도로 답변되어야 함을 보여줍니다: "아키텍처가 제로 지식인가?"와 "구현이 올바른가?"
Okta 유출: 같은 달, 다른 메커니즘
2023년 10월, Okta는 위협 행위자가 도난당한 자격 증명을 사용하여 Okta의 고객 지원 시스템에 접근했다고 발표했습니다. 이 유출 사건은 600,000개 이상의 고객 지원 기록을 노출시켰으며, 고객이 지원 상호작용 중에 업로드한 파일을 포함했습니다.
Okta는 신원 보안 플랫폼입니다. 이 유출 사건은 근본적인 아키텍처 실패가 아니라 공급망 접근 제어 실패였습니다. 지원 엔지니어의 자격 증명이 손상되었고, 공격자는 합법적인 접근을 사용하여 민감한 데이터에 도달했습니다.
LastPass와 Okta의 조합은 기업 클라우드 공급업체가 직면한 두 가지 실패 모드를 보여줍니다:
- 아키텍처 실패: 제로 지식 주장이 진정으로 구현되지 않음
- 접근 제어 실패: 합법적인 자격 증명이 무단 데이터 접근으로 이어짐
제로 지식 아키텍처는 첫 번째 실패 모드를 해결합니다. 이는 공급업체 지원 시스템에 대한 합법적인 자격 증명을 얻은 단호한 공격자로부터 보호하지는 않습니다. 그러나 그러한 공격자가 고객의 평문 데이터에 접근할 수 없도록 보장합니다. 왜냐하면 공급업체의 지원 시스템은 암호 해독 가능한 데이터에 접근할 수 없기 때문입니다.
2022년부터 2024년까지 SaaS 보안 사건 300% 증가
AppOmni와 Cloud Security Alliance의 연구에 따르면 2022년부터 2024년까지 SaaS 유출 사건을 추적한 결과, 이 기간 동안 SaaS 플랫폼에 영향을 미치는 보안 사건이 300% 증가했습니다.
300% 수치는 공격자의 정교함이 300% 증가했다는 것을 나타내지 않습니다. 이는 SaaS 채택의 증가와 공격자의 적응을 결합한 결과입니다. 더 많은 기업 데이터가 클라우드 플랫폼으로 이동함에 따라 공격자들은 이러한 플랫폼을 목표로 자원을 전환했습니다. SaaS 공급업체를 타겟으로 하는 ROI는 수십 개 또는 수백 개의 기업 고객의 데이터에 동시에 접근하는 것과 같아 개별 기업을 타겟으로 하는 것보다 상당히 높습니다.
클라우드 공급업체가 안전한 타겟이라는 가정에 기반하여 공급업체 보안 평가 프로세스를 구축한 기업들에게 2022-2024 데이터는 재조정이 필요합니다. 그 가정은 잘못되었습니다. SaaS 공급업체는 우선 목표입니다.
LastPass 이후 감사 체크리스트
LastPass 및 Okta 사건 이후 클라우드 공급업체 보안을 재평가하는 기업을 위한 실용적인 체크리스트:
암호화 구현:
- 키 파생 알고리즘, 반복 횟수 및 메모리 매개변수를 요청하세요.
- 반복 횟수가 현재 OWASP 권장 사항(최소 600,000 PBKDF2-SHA256 또는 동등한 Argon2id 매개변수)을 충족하는지 확인하세요.
- 키 파생이 공급업체 서버가 아닌 클라이언트 측에서 발생하는지 확인하세요.
메타데이터 보호:
- 암호화된 콘텐츠와 함께 평문으로 저장되는 메타데이터가 무엇인지 구체적으로 질문하세요.
- 어떤 필드가 암호화되고 어떤 필드가 유출 시 접근 가능한지를 보여주는 데이터 모델을 요청하세요.
지원 시스템 접근 제어:
- 고객 데이터에 대한 지원 엔지니어의 접근에 대한 문서를 요청하세요.
- 지원 시스템이 고객의 평문 데이터에 접근할 수 없음을 확인하세요.
유출 통지 이력:
- 공개 통지 임계치에 도달하지 않은 사건을 포함하여 모든 이전 보안 사건의 공개를 요청하세요.
- 이전 공개의 투명성과 완전성을 평가하세요.
LastPass 유출 사건은 구현 실패와 구현에 대한 투명성 부족의 결과였습니다. 공급업체 선택 전에 상세한 질문을 하는 기업은 정보에 기반한 위험 평가를 가능하게 하는 답변을 받습니다. 고수준의 주장 — "우리는 귀하의 데이터를 암호화합니다" — 을 수용하는 기업은 유출 후 구현 세부사항을 발견하는 위험을 물려받습니다.
출처: