예방 가능했던 7가지 애플리케이션 보안 위험

엔터프라이즈 Passkey 백서. passkey 프로그램을 위한 실무 가이드, 도입 패턴, KPI.

핵심 정보

2022년부터 2024년 사이 발생한 MGM, Uber, CircleCI 및 Ticketmaster의 침해 사고로 6억 명 이상의 사용자 개인 데이터가 노출되었으며 수억 달러가 넘는 손실이 발생했습니다.
2023년 MGM Resorts 침해 사고는 IT 헬프 데스크 지원 센터에 걸려온 비싱(Vishing) 전화로 시작되어 자격 증명 재설정과 랜섬웨어 배포로 이어졌으며, 7일 동안 시스템이 중단되었습니다.
Snowflake 침해 사고는 MFA가 없는 계정을 공격하는 인포스틸러 악성코드에서 탈취한 자격 증명으로 인해 Ticketmaster(고객 기록 5억 6천만 개)와 AT&T를 포함한 165개 조직이 피해를 입었습니다.
**DBSC(Device Bound Session Credentials)**는 암호화를 통해 세션을 특정 기기에 연결하여 세션 쿠키 탈취를 방지하므로 다른 기기에서 탈취한 쿠키를 사용할 수 없게 만듭니다.
보고된 침해 사고를 겪은 모든 조직은 시스템이 손상되기 전에 패스키를 배포할 수 있는 환경을 갖추고 있었습니다. 패스키는 2022년부터 2024년까지 성숙하고 가용한 기술이었습니다.

1. 소개#

Uber, MGM Resorts, CircleCI, Ticketmaster를 비롯한 여러 대기업은 2022년 9월부터 2024년 5월까지 공격자가 사용자 계정 시스템에 무단으로 접근한 이후 보안 침해에 직면했습니다. 이 공격은 수억 달러가 넘는 피해를 발생시켰고 6억 명 이상의 사용자 개인 데이터를 노출했습니다. 그러나 당시의 구식 인증 시스템을 개선했다면 이러한 보안 침해를 예방할 수 있었을 것입니다.

이 이야기에서는 공격자가 제로 데이 취약점이나 알려지지 않은 취약점을 악용하여 공격을 수행했다는 증거는 보이지 않습니다. 이러한 사례들은 조직이 어떻게 보안 침해 예방에 실패했는지를 보여줍니다. 대부분은 MFA 피로(MFA fatigue) 공격을 인지하고 있었음에도 이를 방어하지 못했고, 비밀번호 기반 시스템의 취약성을 알면서도 계속 사용했습니다.

최근 글

2. 레거시 인증의 실패#

취약하거나 오래된 인증은 공격자의 일반적인 진입점입니다. 조직은 피싱 보호를 제공하는 확립된 패스키 인증 시스템에 접근할 수 있지만, 대부분의 보안 침해는 공격자가 도난당하거나 이전에 사용된 비밀번호를 획득하면서 시작됩니다. 2023년 MGM Resorts 침해 사고는 공격자가 비싱을 사용하여 헬프 데스크 IT 지원팀에 연락하면서 시작되었습니다. 이를 통해 자격 증명을 재설정하고 랜섬웨어를 배포하여 7일간 시스템이 중단되었습니다.

MGM 및 기타 조직의 보안 시스템은 비밀번호와 함께 SMS 기반 이중 인증을 사용했지만 사회 공학적 공격과 자격 증명 탈취를 막지 못했습니다. 조직은 보안 위협을 이해하고 있었음에도 불구하고 현재 시스템과 작업 프로세스 때문에 더 나은 인증 시스템을 구축하지 못했습니다.

공개 키 암호화 및 생체 인식을 사용하는 패스키는 이러한 공격의 성공 위험을 크게 줄일 수 있었을 것입니다. 패스키는 사용자가 재설정 코드를 공유하여 원격 접근이나 헬프 데스크 지원을 통해 재설정할 수 없으므로 사회 공학적 공격으로부터 보호하며, 비밀번호보다 더 안전합니다. 패스키의 보안은 계정 복구 프로세스가 적절하게 보호되지 않거나 기기가 악성코드에 감염될 때 발생하는 특정 공격 방식에는 취약성을 유지합니다.

3. 세션 및 쿠키 기반 공격#

공격자는 시스템 접근 권한을 얻고 모든 인증 절차를 우회하는 데 도움이 되기 때문에 쿠키를 확보하는 데 집중합니다. 2022년 CircleCI 침해 사고는 직원 노트북에 설치된 인포스틸러 악성코드가 어떻게 활성 세션 쿠키를 쉽게 탈취할 수 있는지 보여줌으로써 이를 강조합니다. 공격자는 이를 사용하여 이중 인증을 우회하고 프로덕션 시스템에 접근했습니다.

세션 쿠키는 베어러 토큰을 사용한 접근 제어 우회 수단으로 기능하여 민감한 데이터 노출을 용이하게 합니다. 이러한 사고를 예방하기 위해 조직은 암호화 기법을 사용하여 세션을 특정 기기와 연결함으로써 세션 탈취로부터 사용자를 보호하는 DBSC(Device Bound Session Credentials)를 구현할 수 있습니다. 이로 인해 다른 컴퓨터에서 탈취한 쿠키는 사용할 수 없게 됩니다. DBSC 시스템은 다양한 기기에서 실행되는 인포스틸러 악성코드에 대해 효과적인 보호를 제공하지만, 처음 등록된 기기가 악성코드에 감염된 경우 공격을 막을 수는 없습니다.

라이브 데모에서 passkeys를 체험하세요.

Passkeys 체험하기

4. 손상된 권한 부여#

애플리케이션 내 접근 제어가 무너지면 공격자는 자신의 권한에 관계없이 내부 시스템을 자유롭게 이동할 수 있습니다. 공격자가 여러 네트워크 침해 사건 중 시스템 구성 요소 간에 이동하기 위해 불충분한 접근 제어를 성공적으로 악용했기 때문에, 권한 부여 취약성으로 인한 보안 위험은 계속 높습니다.

IDOR(Insecure Direct Object Reference) 취약점을 식별하기 위해 애플리케이션 개발자는 개념 기반 위협 모델링을 사용하여 기본 접근 관리 구조를 탐지하고 서비스 계정 권한을 검증하는 코드 검토 프로세스를 구현해야 합니다.

최소 권한 모델 대신 복잡한 역할 할당 및 권한 관리를 선택하면 조직이 권한 부여 문제에 취약해질 수 있습니다. 복잡한 역할 할당은 고객 대상 애플리케이션의 중요한 정보 및 기능에 대한 무단 접근으로 이어질 수 있습니다. 안전한 권한 부여 프레임워크가 없는 조직은 무단 접근 및 작업으로부터 데이터를 보호할 수 없습니다.

B2C 보안 문제가 증가함에 따라 손상된 단일 계정이 여러 사용자 계정에 심각한 피해를 줄 수 있습니다. 권한 있는 접근 관리를 구현함으로써 조직은 직원과 고객이 업무를 수행하는 데 필요한 최소한의 접근 권한만 부여할 수 있습니다. 이와 더불어 정기적인 개념 기반 위협 모델링 및 코드 검토는 위험 및 취약점을 쉽게 발견하는 데 도움이 됩니다.

5. 안전하지 않은 AI 통합#

GenAI 및 LLM을 애플리케이션에 빠르게 통합하는 속도가 이러한 변경 사항을 감지하는 기존 제어의 능력을 능가하여 예상치 못한 보안 위험이 발생합니다. 2024년 Snowflake 침해 사고는 공격자가 인포스틸러 악성코드 공격에서 탈취한 자격 증명을 사용하여 다중 요소 인증을 구현하지 않은 Snowflake 고객 환경에 어떻게 진입했는지 보여줍니다. 이 공격은 5억 6천만 개의 고객 기록을 보유한 Ticketmaster, AT&T, Santander Bank를 포함하여 165개 이상의 조직에 피해를 입혔습니다.

조직은 종종 AI를 IT 환경의 핵심 부분으로 인식하지 못해 모델, 벡터화된 데이터 저장소, AI 파이프라인과 같은 AI 리소스를 구성 오류 및 사이버 공격 위험에 노출시킵니다. 인가되지 않은 개인이 내부적으로 적발되지 않고 자격 증명 기반 공격을 수행할 수 있는 "섀도 AI" 때문에, 대부분의 조직은 AI 시스템을 효과적으로 모니터링하기가 어렵습니다.

조직이 다른 IT 인프라와 마찬가지로 AI 시스템에 입력 유효성 검사, 격리, 지속적인 모니터링과 같은 기본 제어를 적용했다면 이러한 보안 사고를 피할 수 있었을 것입니다. 조직은 모든 AI 리소스의 전체 인벤토리를 제공하는 AI 보안 도구를 사용하여 구성 오류 식별 및 문제 해결을 자동화할 수 있습니다.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

6. 클라우드 및 런타임 환경 구성 오류#

노출된 스토리지 버킷, 과도하게 허용된 보안 그룹 및 노출된 컨테이너를 포함하여 클라우드의 구성 오류로 인해 보안 사고가 발생할 수 있습니다. 2022년 ePallet 침해 사고는 구성이 잘못된 Amazon S3 버킷이 해당 도구를 사용하는 다른 비즈니스의 민감한 고객 데이터를 노출시킬 수 있음을 보여주었습니다. 공격자는 민감한 정보에 접근하기 위해 보호되지 않은 스토리지 버킷과 효과적인 접근 제어가 부족한 보안 그룹이라는 두 가지 주요 벡터를 사용했습니다.

기본 규정 준수 스캔(Basic Compliance Scanning)은 이러한 공격이 사용자 특정 데이터가 있는 공개 접근 가능한 스토리지와 노출된 가상 관리 포트라는 두 가지 주요 소스에서 시작됨을 보여줍니다. 조직은 이러한 구성 오류를 규정 준수를 위한 단기 수정 사항으로 볼 수 있지만, 대부분은 보안 침해 지점이 됩니다.

구성 오류를 식별하고 해결하는 작업은 지속적인 클라우드 보안 상태 관리 또는 런타임 보안 확인을 통해 계속 이루어져야 하며, 이는 공격자가 취약점을 악용할 위험을 크게 줄여줍니다. 조직은 자동화된 스캐닝 및 모니터링 도구를 사용하여 구성 오류를 찾을 수 있으며, 모니터링 플랫폼은 이를 해결할 수 있습니다.

7. SDLC 내 보안 부재#

소프트웨어 개발 프로세스에 보안 기능이 적절하게 통합되지 않으면 취약점이 프로덕션 프로세스에 유입됩니다. 한 암호화폐 스타트업의 CI/CD 파이프라인 내 구성 오류가 발생한 GitHub action은 AWS 자격 증명을 조용히 공유하여 공격자가 800달러의 암호화폐를 채굴하도록 도왔습니다.

SAST/DAST, 안전한 코드 검토 및 종속성 스캔을 통해 일반적인 보안 취약점을 식별할 수 있습니다. 인젝션 공격부터 안전하지 않은 역직렬화 및 안전하지 않은 직접 객체 참조까지 다양하지만, 보안에 주의를 기울이지 않으면 이러한 문제는 지속됩니다.

소프트웨어 개발 수명 주기(SDLC)에 보안을 통합하면 개발자가 보안 취약점을 식별하고 해결하여 프로덕션에 배포하기 전에 웹 애플리케이션에 구현할 수 있습니다. 이러한 문제를 예방하려면 조직은 자동화된 스캐닝, 종속성 관리, 안전한 코드 검토 등 세 가지 기본 보안 관행을 구현해야 합니다.

최신 뉴스를 위해 Passkeys Substack을 구독하세요.

8. 불충분한 모니터링 및 복구 프로세스#

조직이 계속 보안 침해를 겪는 주요 원인은 경고 신호를 인지하지 못하고 시스템 이상에 대해 정의된 문제 해결 프로세스가 없기 때문입니다. 2022년 Uber 침해 사고에 비추어 볼 때, 지속적으로 컴퓨터 시스템을 모니터링하고 현재 업계 표준에 따라 보안 위반에 대한 명확한 대응 절차를 수립해야 합니다. 보안 이벤트에 대한 포괄적인 로깅이 없으면 조직은 크리덴셜 스터핑(credential stuffing), 비정상적인 기기 접근 시도 또는 비정상적인 토큰 트랜잭션을 모니터링하기 어렵습니다.

수집하는 정보에 보안 권한 남용을 조기에 식별할 수 있는 충분한 세부 정보가 없기 때문에 조직은 인증 및 로그인 시도를 감지하거나 사용자 등록 이벤트를 기록하는 데 어려움을 겪습니다.

조직의 시스템은 개인 정보 보호 중심의 원격 측정 및 자동화된 알고리즘 응답 절차를 통해 비정상적인 이벤트를 식별하고 관리합니다. AI 탐지 및 대응 기능은 조직이 보안 이벤트 간의 관계를 식별하고 침해가 발생하지 않도록 차단하는 데 도움이 됩니다.

9. 결론#

MGM, Snowflake, Uber 및 CircleCI 침해 사고를 연구하면서 가장 안타까운 점은 이러한 사고를 피할 수 있었다는 사실을 아는 것입니다. 당시 기술에는 보안에 중점을 둔 기업들이 이미 인증 시스템에 사용하던 필수 기능이 부족했기 때문에 이 사고는 불가피해졌습니다.

이 보고서에 언급된 모든 조직은 시스템이 손상되기 전에 패스키를 배포할 수 있었습니다. 패스키는 2022~2024년 동안 사용 가능하고 성숙한 기술이었지만, DBSC(Device Bound Session Credentials)는 2024년까지 널리 사용되지 않았습니다. 시스템에는 MFA 적용, 네트워크 허용 목록, 최소 권한 IAM 및 모니터링과 같은 다중 클라우드 보안 제어가 포함되었습니다. 그러나 이러한 제어는 완벽한 보호를 위해 수동 설정이 필요했습니다.

일부 조직의 보안 팀은 이러한 제어를 지지했지만 전사적인 변화에 대한 저항을 극복하지 못했습니다. 그 결과 6억 명 이상의 개인 데이터 노출, 규제 조사 및 수억 달러가 넘는 총 손실이 발생했습니다.

조직은 자격 증명 기반 공격이 가속화된 속도로 증가할 것임을 보여주는 연구를 수행했으므로 이러한 치명적인 보안 위협을 즉시 처리해야 합니다. 조직은 다른 조직이 조사 과정에서 귀하의 보안 실패를 사례로 활용하기 전에 최신 인증 시스템을 도입할지 아니면 그 후에 도입할지 결정해야 합니다.

애플리케이션 보안 도구는 존재하며 복잡한 설치 절차가 필요 없는 간단한 프로세스를 통해 자동으로 작동합니다. ROI는 측정 가능합니다. 보안 커뮤니티에는 인증 현대화를 필수 보안 제어로 인식하게 하는 긴박감이 부족합니다. 다음번 헬프 데스크 전화, 피싱 이메일 및 인포스틸러 페이로드가 1억 달러 규모의 사고로 발전할 수 있으므로 조직은 즉각적인 조치를 취해야 합니다.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →