클라우드플레어(Cloudflare)가 국가 배후 사이버 공격조직의 공격을 받았다. 이 회사 CEO는 최근 블로그 게시물에서 공격자가 주요 싱글 사인온 공급업체인 옥타에서 발생한 이전 침해 사고에서 훔친 자격 증명을 활용했다고 확인했다. 이 사건은 지난해 추수감사절 당일 클라우드플레어 보안팀이 자체 호스팅된 아틀라시안 서버에서 무단 액세스를 감지하면서 드러났다.

위협 행위자는 11월 14일부터 17일까지 정찰을 수행하면서 치밀한 공격을 시작했다. 이 기간 동안 공격자는 회사의 위키 및 버그 데이터베이스를 비롯한 내부 시스템에 액세스했다. 11월 20일과 21일에 다시 침입한 공격자는 클라우드플레어의 소스코드 관리 시스템에 침입해 사이버 공격을 시작했다.

보안 조사관들이 공격자가 10월에 널리 알려진 옥타의 침해 사건에서 탈취한 액세스 토큰과 서비스 계정 자격 증명을 사용해 다른 시스템에 침투를 시도한 사실을 발견하면서 공격의 세부 사항이 드러났다.

클라우드플레어는 이 사건을 국가 배후 공격자에 의한 정교한 공격으로 규정하며, 공격의 목적은 클라우드플레어의 글로벌 네트워크에 지속적이고 광범위하게 액세스해 회사의 보안과 운영 무결성에 심각한 위협을 가하는 목적이었다.

침해를 발견하자마자 클라우드플레어 보안팀은 위협 행위자의 액세스를 신속하게 차단하고 내부 조사를 시작했다. 이후 크라우드스트라이크(CrowdStrike)의 포렌식 팀이 독립적인 분석을 위해 투입되어 침입 범위를 밝혀냈다.

클라우드플레어는 약 5천개의 프로덕션 자격 증명을 교체하고 테스트 및 스테이징 시스템을 물리적으로 분할해 공격자의 재침입 가능성을 차단하는 등 조치를 취했다.

또 공격자가 다른 시스템에 지속적으로 액세스하지 못하도록 네트워크 보안을 강화했다. 특히, 해커가 침입을 시도했던 상파울루 데이터 센터의 하드웨어를 교체해 잠재적인 위협에 대한 방어를 더욱 강화했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★