무슨 일이 일어났나
3월 12일, 캐나다 IT 서비스 기업 Telus Digital이 보안 침해를 공식 확인했습니다. 위협 그룹 ShinyHunters가 거의 1 페타바이트(약 1,000TB)의 데이터를 탈취했다고 주장하고 있습니다.
Telus Digital은 캐나다 통신사 Telus의 디지털 서비스·BPO 사업부입니다. 전 세계 기업에 고객 지원, 콘텐츠 모더레이션, AI 데이터 서비스를 제공합니다. 고객사 데이터까지 포함되어 있다면 파장이 큽니다.
BleepingComputer에 따르면, 이번 침해는 수개월에 걸쳐 진행된 것으로 파악됩니다.
공격 경로: Drift에서 GCP까지
ShinyHunters의 공격 경로는 단계적이었습니다. Bitdefender에 따르면, 먼저 Drift(마케팅 자동화 도구)의 데이터에서 Google Cloud Platform 자격 증명을 발견했습니다.
이 자격 증명으로 Telus의 GCP 시스템에 접근한 뒤, 대규모 BigQuery 인스턴스의 데이터를 다운로드했습니다. 여기서 끝이 아닙니다.
다운로드한 데이터에서 trufflehog(자격 증명 스캐너)를 돌려 추가 비밀값을 추출했고, 이를 이용해 다른 Telus 시스템으로 피벗했습니다. 하나의 자격 증명이 전체 인프라의 열쇠가 된 전형적인 사례입니다.
$65M 랜섬과 Telus의 침묵
ShinyHunters는 2월에 Telus에 $65M(약 900억 원)을 요구했습니다. iPhone in Canada에 따르면, Telus는 이메일에 응답하지 않고 있습니다.
Telus는 사이버 포렌식 전문가를 투입하고 법 집행 기관과 협력 중이라고만 밝혔습니다. 정확히 어떤 데이터가 유출되었는지, 어떤 고객이 영향을 받았는지는 아직 조사 중입니다.
교훈과 대응법
- 자격 증명 순환: 모든 클라우드 자격 증명, 특히 서드파티 도구에 저장된 것을 즉시 교체합니다
- 시크릿 스캐닝: 코드와 데이터에서 자격 증명이 노출되어 있지 않은지 trufflehog 같은 도구로 선제적으로 스캔합니다
- BigQuery 접근 제어: 서비스 계정의 권한을 최소 권한 원칙에 맞게 제한합니다
- 서드파티 통합 감사: Drift, Salesforce 등 외부 도구가 클라우드 인프라에 어떤 수준의 접근 권한을 갖고 있는지 점검합니다
참고