Klue 해킹으로 Huntress, HackerOne 및 보안 기업 3곳 추가 피해

Klue 해킹으로 Huntress, HackerOne 및 보안 기업 3곳 추가 피해

시장 정보 플랫폼 Klue의 침해 사고가 업계에서 가장 잘 알려진 기업들을 덮친 사이버 보안 기업 데이터 유출 공급망 사고로 이어졌습니다. Huntress, HackerOne, Jamf, Recorded Future, Tanium 모두 이번 Klue 침해 사고의 직접적인 결과로 데이터가 도난당했다고 확인했습니다. 이번 사건은 다른 이들을 보호하는 것 자체가 비즈니스 모델인 조직조차도 신뢰했던 벤더에 의해 무너질 수 있다는 뼈아픈 사실을 일깨워줍니다.

피해를 입은 사이버 보안 기업과 유출된 데이터

확인된 5곳의 피해 기업은 사이버 보안 분야의 광범위한 스펙트럼을 아우릅니다. Huntress는 중소기업을 위한 관리형 탐지 및 대응에 주력합니다. HackerOne은 전 세계적으로 가장 널리 사용되는 버그 바운티 및 취약점 공개 플랫폼 중 하나를 운영합니다. Jamf는 엔터프라이즈 고객을 위한 Apple 기기 관리를 전문으로 합니다. Recorded Future는 저명한 위협 인텔리전스 제공업체입니다. Tanium은 대규모 엔드포인트 관리 및 보안을 제공합니다.

5곳 모두 Klue의 고객사입니다. Klue는 기업이 경쟁사 활동을 추적하도록 돕는 시장 정보 플랫폼으로, 일반적으로 연결된 다양한 비즈니스 도구에서 데이터를 수집합니다. 바로 그 연결성이 Klue를 고가치 표적으로 만든 요인입니다. Klue가 고객사 시스템과의 통합을 승인했기 때문에, Klue에 대한 침해는 해당 고객사를 직접 공격하지 않고도 그들의 환경으로 침투하는 발판으로 악용될 수 있었습니다.

각 기업에서 도난당한 구체적인 데이터는 완전히 공개되지 않았지만, 순수한 내부 운영 인프라보다는 고객 대면 비즈니스 시스템과 관련된 노출이었습니다.

Klue 침해 사고가 보안 벤더에 대한 공급망 공격으로 번진 과정

한 시장 조사 기업에서 시작된 이 사건이 어떻게 5개의 사이버 보안 기업으로 파급되었는지는 공급망 공격이 위협 행위자들에게 그토록 매력적인 대상이 된 이유를 정확히 보여줍니다. 보안이 강화된 보안 벤더를 직접 뚫으려 애쓰는 대신, 공격자는 이미 열쇠를 쥐고 있는 더 취약한 상위 타깃을 침해합니다.

Klue의 경우, 공격 벡터는 위협 그룹이 연결된 Salesforce CRM 데이터에 무단 접근할 수 있게 한 OAuth 취약점과 관련되었습니다. Salesforce CRM 데이터 도난을 가능케 한 Klue OAuth 침해 사고에 대한 이전 보도에서 다루었듯이, "Icarus"로 알려진 위협 그룹은 이 인증 결함을 악용하여 여러 Klue 고객사의 Salesforce 환경으로 측면 이동했습니다. 일단 CRM 시스템 내부에 침투한 공격자들은 기업이 일반적으로 매우 민감하게 취급하는 구조화된 비즈니스 데이터, 즉 고객 기록, 파이프라인 정보, 거래 내역 및 계정 연락처에 접근할 수 있었습니다.

이는 교과서적인 공급망 침해입니다. 피해 조직들은 자체 인프라를 보호하는 방식에 기술적으로 아무런 잘못이 없었습니다. 그들의 노출은 전적으로 제3자를 신뢰한 데서 비롯되었으며, 그 제3자는 자신이 관리하는 OAuth 통합을 적절히 보호하지 못했습니다.

보안 기업이 위협 행위자에게 고가치 표적이 되는 이유

위협 행위자가 사이버 보안 기업을 특정하여 노리는 것은 직관에 반하는 것처럼 보일 수 있습니다. 이러한 조직은 전문 인력을 고용하고, 성숙한 보안 프로그램을 유지하며, 공격을 탐지하고 대응하는 데 사용되는 바로 그 도구를 구축하는 경우가 많습니다.

그러나 그 전문성은 양날의 검이 될 수 있습니다. 보안 기업은 극도로 민감한 데이터를 보유합니다. 예를 들어, HackerOne의 플랫폼은 취약점 연구와 기업 공개의 교차점에 위치해 있습니다. Recorded Future는 위협 인텔리전스를 집계하는데, 이것이 잘못된 손에 들어가면 방어자가 현 위협에 대해 무엇을 알고 무엇을 모르는지 드러낼 수 있습니다. Huntress는 수천 개의 중소기업 네트워크를 깊숙이 들여다볼 수 있는 가시성을 갖추고 있습니다. 이러한 시스템 중 하나라도 접근할 수 있는 공격자는 데이터뿐만 아니라 더 넓은 보안 생태계에 대한 전략적 정보까지 확보하게 됩니다.

게다가 보안 벤더들은 그들의 제품이 제 역할을 하기 위해 높은 수준의 접근 권한을 필요로 하기 때문에 고객 환경에 깊숙이 통합되는 경우가 많습니다. 그 통합은 공격 표면을 줄이는 것이 아니라 늘립니다. Klue 사건에서 표적이 된 기업들은 자사 제품을 통해 침해된 것은 아니지만, CRM 시스템을 통해 접근 가능했던 정보의 가치는 공격을 감행할 만큼 충분히 컸을 것입니다.

이번 사건의 패턴은 중개 벤더가 방어가 잘 된 조직으로 침투하는 진입점 역할을 했던 다른 주요 공급망 침해 사건들을 연상시킵니다. 데이터 수집 및 분석을 위해 정기적으로 CRM 및 영업 도구에 연결하는 시장 조사 및 경쟁 정보 플랫폼은 많은 보안 팀이 벤더 평가에서 역사적으로 우선순위를 두지 않았던 새로운 위험 범주를 대표합니다.

이것이 의미하는 바

영향을 받은 기업에 근무하거나 관련 업무를 보는 경우, 가장 먼저 취해야 할 조치는 귀하의 계정 데이터 또는 비즈니스 정보가 접근 권한이 탈취된 Salesforce 환경에 저장되어 있었는지 확인하는 것입니다. 해당 벤더에 직접 연락하여 어떤 범주의 데이터가 노출되었는지 구체적인 정보를 요청하십시오.

더 넓게 보면, 이번 사건은 자체 위험 노출을 평가하는 모든 조직이 강화해야 할 몇 가지 구체적인 관행을 재확인시켜 줍니다.

• OAuth 및 타사 통합을 정기적으로 감사하십시오. CRM, 이메일 또는 비즈니스 도구에 연결하도록 승인된 모든 플랫폼은 검토가 필요하고 필요한 최소 권한으로 범위가 제한되어야 하는 신뢰 관계를 갖습니다.
• 접근 권한을 적극적으로 분할하십시오. 벤더는 특정 기능을 수행하는 데 필요한 데이터에만 접근할 수 있어야 합니다. 경쟁사 추적 데이터가 필요한 시장 정보 도구가 전체 CRM 접근 권한을 필요로 하지는 않습니다.
• 벤더 스택 전반에 걸쳐 심층 방어 전략을 적용하십시오. 단일 보안 통제만으로는 충분하지 않습니다. 벤더 통합 전반에 걸쳐 모니터링, 접근 제어, 이상 탐지를 계층화하면 단일 침해의 피해 범위를 줄일 수 있습니다.
• 벤더 목록을 공격 표면의 일부로 취급하십시오. 조직이 연결하는 모든 SaaS 도구는 잠재적인 침입 지점입니다. 어떤 벤더가 어떤 접근 자격 증명을 보유하고 있는지 정기적으로 검토하면 공격자보다 먼저 예상치 못한 노출을 발견할 수 있습니다.

Klue 사건은 공급망 공격이 실제로 어떻게 작동하는지 보여주는 유용한 사례 연구입니다. 공격자들은 Huntress나 HackerOne을 그들의 주특기 분야에서 이겨야 할 필요가 없었습니다. 그들은 더 취약한 진입점을 찾아 악용하고, 거기에 있는 데이터를 수집했습니다. 개인정보 보호에 민감한 사용자와 보안을 중시하는 조직 모두에게 주는 교훈은 여러분의 보안 수준은 벤더 생태계에서 가장 취약한 통합 지점만큼만 강하다는 것입니다. 다음 사고가 발생하기 전에 지금 바로 이러한 연결을 검토하는 것이 모든 조직이 할 수 있는 가장 실질적인 조치입니다.