폭스아이티는 공격을 받은 후 공식 블로그를 통해 "해커가 타사 도메인 등록 기관과 회사의 계정에 무단으로 액세스했다. 회사 고객 포털의 IP 주소를 지정한 도메인 이름 시스템(DNS)을 변경했다"고 밝혔다. 해커는 회사의 모든 데이터 및 시스템을 제어할 수 있었고 도메인 제어를 활용해 HTTPS 기반 암호화를 우회하고 새로운 전송 보안 인증서를 확보했다.
이런 DNS 공격이 발생한 지 5시간 만에 회사는 공격을 감지했고 엔지니어들이 올바른 서버로 설정을 복원하고 암호를 변경했다. 그러나 DNS 설정 변경 사항이 적용되기 전에 공격이 계속됐다. 회사 엔지니어들은 공격을 막고 도메인을 확보하기까지 약 10시간 24분을 보냈다.
해커는 9명의 사용자의 로그인 자격 증명, 10개의 파일, 1개의 휴대폰 번호, 몇몇 고객의 이름과 전자 메일 주소를 유출했다. 하지만 모든 계정은 해커가 액세스하지 못하도록 2단계 인증 시스템으로 보호된다. 폭스아이티의 2단계 인증은 도메인 등록 기관 계정을 보호하고 해킹이 진행되는 것을 막을 수 있었다.
폭스아이티 관계자들은 성명서를 발표해 사고 발생에 대해 사과하며 자사 직원들이 신속하게 대응해 데이터 유출 규모와 기간을 제한할 수 있었다고 덧붙였다.
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
