https://www.dailysecu.com/news/articleView.html?idxno=157812
2024년 1월, 온라인 프로젝트 관리 도구인 트렐로(Trello)에서 1500만 명 이상의 사용자 이메일 주소가 해킹 포럼에 유출된 사건이 발생했다. 이 사건은 'emo'라는 해커가 트렐로의 보안이 취약한 API를 악용해 사용자 이메일 주소와 공개 프로필 정보를 수집하면서 벌어졌다.
해커 'emo'는 2024년 1월에 5억 개의 이메일 주소 목록을 트렐로 API에 입력하여 트렐로 계정과 일치하는 이메일 주소를 확인했다. 이 방법을 통해 15,115,516명의 사용자 프로필이 생성되었고, 여기에는 이메일 주소, 사용자 이름, 전체 이름 등 계정 관련 정보가 포함되었다. 이번 유출은 트렐로 내부 시스템에 대한 비인가 접근 없이 공개 API 엔드포인트의 취약점을 악용한 것이었다.
유출된 데이터에는 이메일 주소뿐만 아니라 사용자 이름, 전체 이름, 계정 관련 정보가 포함되어 있어 피싱 및 신원 도용의 위험이 크다. 이번 데이터 유출로 인해 해커들은 더욱 정교한 피싱 공격을 수행할 수 있게 되었으며, 사용자들에게 더욱 신뢰할 수 있는 사기 행각을 펼칠 수 있게 되었다.
또한, 트렐로를 사용하는 조직의 경우, 조직 구조나 프로젝트 계획 등 민감한 정보가 유출될 가능성이 있어 더 큰 보안 위험에 처할 수 있다. 이런 정보는 산업 스파이나 사보타지 같은 악의적인 활동에 악용될 수 있다.
트렐로의 소유주인 아틀라시안(Atlassian)은 이번 유출이 트렐로 REST API의 오남용으로 발생했음을 확인했다. 이에 트렐로는 인증되지 않은 사용자가 이메일 주소를 사용해 공개 프로필 정보를 조회하는 기능을 제한하고, 의심스러운 활동을 감지하기 위한 모니터링을 도입했다. 하지만 이번 사건은 API 보안의 중요성을 다시 한번 생각캐한 사건이다.
이번 유출 사건은 GDPR과 같은 데이터 보호 규정 하에서 트렐로가 상당한 벌금과 규제 조사를 받을 가능성이 크다. 트렐로 사용자들은 비밀번호를 변경하고, 2단계 인증(2FA)을 활성화하여 추가 보안층을 더할 것을 권장한다. 또한, 계정 활동을 정기적으로 모니터링하여 이상 징후를 발견하면 즉시 조치를 취하는 것이 중요하다.
트렐로 데이터 유출 사건은 온라인 플랫폼의 취약성과 API 보호의 중요성을 상기시켜준다.
1. 해킹 사건 개요:
2024년 1월 트렐로에서 1500만 명 이상의 사용자 이메일 주소 유출
'emo'라는 해커가 API 취약점을 악용하여 데이터 수집
5억 개의 이메일 주소를 API에 입력해 일치하는 계정 정보 확인
2. 유출된 정보:
이메일 주소, 사용자 이름, 전체 이름 등 계정 관련 정보
유출된 데이터로 인해 피싱 및 신원 도용 위험 증가
3. 보안 취약점:
트렐로 내부 시스템이 아닌 공개 API 엔드포인트의 취약점 악용
트렐로는 이후 인증되지 않은 사용자의 이메일 주소 조회 기능 제한
4. 보안 위험 및 영향:
피싱 공격 및 신원 도용 위험 증가
트렐로를 사용하는 조직의 민감한 정보 유출 가능성
산업 스파이나 사보타지 같은 악의적인 활동에 악용 가능성
5. 조치 및 권장 사항:
트렐로의 소유주 아틀라시안(Atlassian)은 API 오남용 확인 후 조치
사용자들에게 비밀번호 변경, 2단계 인증(2FA) 활성화 권장
계정 활동 정기 모니터링 및 이상 징후 발견 시 즉시 조치 권장
6. 법적 및 규제 영향:
트렐로가 GDPR 등의 데이터 보호 규정 하에서 벌금과 규제 조사 가능성
이번 사건은 API 보안의 중요성을 재확인시킴
https://www.dailysecu.com/news/articleView.html?idxno=157855
사이버 보안 및 컴플라이언스 기업 프루프포인트(Proofpoint)가 2024 파리올림픽 공식 파트너 기업들 중 3분의 2에 해당하는 66%가 도메인 사칭으로부터 자신을 보호하기 위한 필수 보안 정책이 미비해 일반인들의 이메일 사기 피해 리스크가 있다고 발표했다.
올림픽 관람을 원하는 전 세계인들이 좌석 티켓을 구하기 위해 온라인 예매를 하고 있는 상황에서 올림픽 주최 정부기관(70%), 주요 온라인 티켓 예매 플랫폼(90%), 여행 사이트(40%) 등 다수가 일반인에게 피해를 줄 수 있는 사기성 이메일을 선제적으로 차단하지 못할 것으로 예상되고 있는 실정이다.
사이버 범죄자들은 사회공학 수법 대상을 찾아 주요 스포츠·문화 행사 관람객들을 호시탐탐 노리고 있다. 주로 공식 파트너 기업, 인프라, 티켓 예매 플랫폼, 여행 예약 사이트 등을 이용한다. 이달 26일에 개최되는 파리올림픽을 준비하는 과정에서 주요 보안 공격 벡터로 부상한 이메일 사기 위협에 대비하기 위한 생태계 구축을 통해 만반의 준비를 해야 한다.
최근 몇 년간 프루프포인트는 사이버 범죄자들이 피해자 네트워크 및 기술 인프라를 직접 해킹하여 침투하기보다는 타깃에 접근하기 위해 적법 기관으로 위장하는 전술을 사용하는 사례가 증가하고 있음을 파악했다. 이에 프루프포인트는 이메일 사칭 리스크에 대비해 현재 보안 상황을 점검하기 위해 이메일 인증 프로토콜(DMARC) 분석 결과를 발표했다.
DMARC(Domain-based Message Authentication, Reporting & Conformance)는 사이버 범죄자들의 도메인 오용을 방지하기 위해 고안된 이메일 인증 프로토콜로서, 3가지의 보안 수준이 있다. ‘모니터(Monitor)’는 인증되지 않은 이메일이 수신자의 받은 편지함 또는 기타 폴더로 이동하도록 허용하는 수준을 의미한다. ‘검역(Quarantine)’은 인증되지 않은 이메일을 걸러내 휴지통 또는 스팸 폴더로 보내는 수준이다. 마지막으로 ‘거부(Reject)’는 인증되지 않은 이메일이 수신자에게 도달하지 못하도록 차단하는 가장 높은 보호 수준을 의미한다.
로익 구에조(Loïc Guézo) 프루프포인트 사이버 보안 전략 책임자(Director of Cybersecurity Strategy)는 “파리올림픽 개막을 앞둔 시점에 많은 공식 파트너 기업들이 이메일 보호 대책을 시행하지 않고 있는 것이 우려스럽다. DMARC는 적용이 쉽고 대단히 효과적인 도메인명 보호 방법으로서 도메인 스푸핑(spoofing) 등 이메일 사기를 방지할 수 있다. 기업들이 대응에 나서지 않을 경우 사이버 공격이 전례 없이 급증할 가능성이 있다”고 말했다.
프루프포인트는 파리올림픽 생태계를 구성하는 도메인을 총 143개 분석했다. 분석 결과는 다음과 같다.
-2024 파리올림픽 공식 파트너 기업들 77곳 중 26개(34%) 기업만이 최고 수준의 DMARC '거부' 기능을 적용하여 적극적으로 도메인명 보호 조치를 결정했다. 즉, 공식 파트너 기업 중 2/3에 해당하는 66%가 이메일 사기 리스크에 노출되어 있다는 의미다.
-올림픽 행사 주최 20개 도시 중 6개(30%)만이 공식 웹사이트에 최고 수준의 DMARC '거부' 기능을 적용하여 적극적으로 도메인명 보호 조치를 결정했다.
-티켓 재판매 플랫폼 10곳을 분석한 결과, 1곳(10%)만 '거부' 모드를 적용하여 도메인명을 적극적으로 보호하고 있는 것으로 나타났다.
-마지막으로, 여행 플랫폼 10곳을 분석한 결과, 도메인 침투 리스크 방어 수준이 가장 높은 것으로 나타났다. '거부' 모드를 적용하여 도메인명을 적극적으로 보호하고 있는 곳이 6곳(60%)이었고, 기본 DMARC 레코드를 구현한 비율도 90%에 달했다.
프루프포인트가 올해 3월 실시한 2024 파리올림픽 공식 파트너 기업 대상 DMARC 도입율 분석에서는 올림픽 공식 웹사이트에 올라 있는 조직별로 기업 대표 도메인을 분석했다. 또한 프루프포인트는 프랑스 내 올림픽 행사 주최 지역 기관, 상위 10개 티켓 예매 사이트, 상위 10개 여행 사이트에 대해서도 DMARC 현황을 분석했다.
◆주요 보안 수칙은 다음과 같다.
요청한 적 없는 이메일, 문자, 전화 경계. 특히 '긴급'이라 강조하거나 결제 요청하는 경우 주의해야 하고, 이메일이나 문자로 금융 정보 제공 요청하는 경우 주의해야 하며 필요시 금융 기관에 직접 확인해야 한다.
또 사용하고 있는 온라인 계정마다 비밀번호를 다르게 설정하고 다중 인증(MFA) 활용을 권고한다.
1. 보안 부족 현황:
2024 파리올림픽 공식 파트너 기업의 66%가 도메인 사칭 방지 보안 정책 미비.
주요 온라인 티켓 예매 플랫폼(90%)과 여행 사이트(40%)가 사기성 이메일 차단 능력이 부족.
올림픽 주최 정부기관의 70%가 선제적으로 사기성 이메일을 차단하지 못할 가능성.
2. 사이버 범죄의 위험:
사이버 범죄자들이 주요 스포츠·문화 행사 관람객들을 노리며 사기성 이메일 공격.
공식 파트너 기업, 인프라, 티켓 예매 플랫폼, 여행 예약 사이트 등을 이용.
3. 이메일 사칭 방지를 위한 DMARC:
DMARC (Domain-based Message Authentication, Reporting & Conformance)는 이메일 사칭 방지를 위한 인증 프로토콜.
4. DMARC 보안 수준:
모니터(Monitor): 인증되지 않은 이메일을 수신자의 받은 편지함으로 이동 허용.
검역(Quarantine): 인증되지 않은 이메일을 스팸 폴더로 이동.
거부(Reject): 인증되지 않은 이메일을 차단.
5. DMARC 분석 결과:
77개의 공식 파트너 기업 중 34%만이 DMARC '거부' 기능 적용.
20개 주최 도시 중 30%만이 DMARC '거부' 기능 적용.
티켓 재판매 플랫폼 10곳 중 10%만 DMARC '거부' 기능 적용.
여행 플랫폼 10곳 중 60%가 DMARC '거부' 기능 적용.
6. 프루프포인트의 우려:
파리올림픽 개막을 앞두고 많은 공식 파트너 기업들이 이메일 보호 대책을 시행하지 않음.
DMARC는 도메인 스푸핑 및 이메일 사기를 방지하는 효과적인 방법.
기업들이 대응하지 않으면 사이버 공격 급증 가능성.
7. 주요 보안 수칙:
요청하지 않은 이메일, 문자, 전화 경계.
긴급하거나 결제 요청하는 경우 주의.
이메일이나 문자로 금융 정보 제공 요청 시 주의.
온라인 계정마다 다른 비밀번호 설정 및 다중 인증(MFA) 활용 권고.
'보안 동향 > 보안 뉴스' 카테고리의 다른 글
[긴급] 크라우드 스트라이크 팔콘 업데이트 했다가 PC 블루스크린... 전 세계 ‘파장’ (0) | 2024.07.21 |
---|---|
빗장 풀리는 공공 클라우드...국내 업계 위기감 고조 (0) | 2024.07.14 |
폭증하는 불법 스팸 해결책으로 떠오른 ‘전송자격인증제’는 무엇? (0) | 2024.07.12 |
중국 연계 사이버 스파이 그룹 Velvet Ant, 시스코 NX-OS 제로데이 취약점 악용해 공격...주의 (0) | 2024.07.07 |