Okta, 2022년 1월 보안 사고 조사 종결

Okta는 외부에서 발생한 2022년 1월 계정 탈취 사고에 대한 조사를 종결했습니다.

조사를 시작하면서 우리는 1월 16일에서 21일까지 총 5일간의 행적을 들여다봤습니다. Okta 벤더인 Sitel에서 고용한 외부 포렌식 업체의 분석 결과, 위협 행위자가 Sitel의 시스템에 액세스한 것으로 나타났습니다. 해당 기간 동안의 피해 규모 분석 결과, Sitel의 고객 지원 엔지니어가 5일간 액세스했던 Okta 고객의 테넌트가 최대 366개에 이르는 것으로 밝혀졌습니다.

세계 유명 사이버 보안 업체가 참여하여 포렌식 보고서를 작성하고, Okta의 내부 보안 전문가가 면밀한 조사를 실시한 결과, 해당 사고의 실질적인 여파는 Okta가 2022년 3월 22일에 처음 발표한 잠재적 최대 피해규모보다 훨씬 적었던 것으로 결론내릴 수 있습니다.

Okta가 의뢰한 세계 유명 사이버 보안 업체는 최종 포렌식 보고서를 통해 다음과 같은 결론을 내렸습니다.

• 위협 행위자는 Okta 리소스에 대한 액세스 권한을 보유하고 있는 Sitel측 지원 엔지니어가 사용하는 단일 단말기를 제어했다.
• 이는 2022년 1월 21일 25분간 지속되었다.
• 해당 기간 동안 위협 행위자는 SuperUser 애플리케이션(별도 공지함) 내 두 개의 활성 고객 테넌트에 액세스하여 Slack이나 Jira처럼 Okta 고객 테넌트에서 기능을 수행하는 데 사용할 수 없는 다른 특정 애플리케이션에서 제한된 추가 정보를 확인하였다.
• 위협 행위자는 구성 변경, MFA, 비밀번호 리셋, 또는 고객 지원 "흉내내기" 등을 시도했지만 실패에 그쳤다.
• Okta 고객 계정에 대한 인증 시도 역시 무위에 그쳤다.

비록 이번 보안 사고의 전반적인 여파가 Okta에서 처음 보고했던 범위보다 훨씬 적긴했지만 이러한 유형의 사고는 Okta의 고객과 이들의 신뢰에 큰 타격을 줄 수 있다는 것을 인지하고 있습니다.

고객과의 협력

Okta는 위협 행위자가 2022년 3월 21일 스크린샷을 입수했다는 사실을 알게되자 투명성에 입각해 당시 알게된 정보를 고객과 공유했습니다. 2022년 3월 22일 Okta는 Sitel측 직원들이 5일간 SuperUser 애플리케이션에 액세스한 내역을 전수 조사하여 가능한 최대 피해 규모를 공지하기 시작했습니다. 그리고 이들 각 고객과 SuperUser 앱의 기록 데이터를 공유하고 Okta 보안 팀과 함께 회의를 열어 고객이 자신들의 기록 데이터를 인지할 수 있도록 도왔습니다. 이러한 조치는 고객의 신뢰를 회복하고, 고객과 함께 협업하여 Okta 서비스의 안전성을 재차 확인시키려는 노력을 입증하기 위함이었습니다.

조사가 끝나고 결론을 내린 후 Okta는 처음에 예상했던 잠재 피해 고객에게 다음 두 개의 문서를 전달하였습니다.

• 세계 유명 사이버 보안 포렌식 업체가 Okta에게 제공한 최종 포렌식 보고서
• 고객 지원 시스템에 액세스하는 외부 처리 업체의 보안을 강화하기 위한 Okta의 장/단기 절차를 요약 정리한 Okta Security Action Plan(Okta 보안 조치 계획)

사건을 통해 얻은 교훈

잠재적 피해 기관들 외에도 Okta는 조치를 취하여 보다 넓은 고객 기반과 에코시스템 내에서 고객의 신뢰를 회복하는 것이 중요하다는 사실을 실감하고 있습니다. 최종 포렌식 보고서에서 사고의 영향 범위가 크지 않은 것으로 조사 결과가 나왔지만, 유사 사건의 발생을 방지하고 보안 사고에 대한 대응력을 기를 수 있도록 시정 조치를 취하겠다는 Okta의 결의에는 변함이 없습니다. 이는 당사의 보안 프로세스를 검토하고 외부 업체의 업데이트를 촉진하고 내부적으로는 크고 작은 잠재적 문제를 방지할 새로운 방안을 촉구하는 것에서 시작됩니다. Okta는 잠재적 위험을 지속적으로 평가할 것이며, 필요하다면 가능한 한 신속하게 고객과 소통할 것입니다.

또한 다음과 같은 몇 가지 영역에서 조치를 취할 것을 약속했습니다.

1. 타사측 위험 관리:

• Okta는 당사 외부 업체의 감사 절차를 강화하고 있으며 이들이 당사의 새로운 보안 요건을 준수하는지 확인할 것입니다. 또한 당사를 대신해 지원 서비스를 제공하는 외부 업체가 "Zero Trust" 보안 아키텍처를 도입하고 Okta의 IDAM 솔루션을 통해 모든 워크플레이스 애플리케이션을 인증하도록 요구할 것입니다.
• Okta는 Sykes 및 Sitel과의 계약 관계를 종료했습니다.

2. 고객 지원 시스템에 대한 :

• Okta는 앞으로 당사의 고객 지원 툴에 액세스하는 외부 업체의 모든 디바이스를 직접 관리할 것이며, 외부 업체에 의지하지 않고 보안 사고에 효과적으로 대응할 수 있도록 필요한 가시성을 제공할 것입니다. 이로써 대응 시간이 현저히 단축될 것이며, 확실성을 바탕으로 잠재적 여파를 추정하는 것이 아닌 실질적인 영향력을 파악해 고객에게 보고할 수 있을 것입니다.
• Okta는 현재 테크놀로지 지원 엔지니어가 열람할 수 있는 정보를 제한하도록 당사의 고객 지원 툴을 추가로 수정하고 있습니다. 이러한 변경을 통해 고객 관리자 콘솔(시스템 로그 사용)에서 이 툴이 사용된 시점을 보다 투명하게 파악하게 될 것입니다.

3. 고객 소통: Okta는 당사의 소통 프로세스를 검토하고 있으며 보안 및 가용성 문제에 관해 고객과 보다 신속하게 소통할 수 있게 해주는 새로운 시스템을 도입할 것입니다.

Okta의 향후 방향성

Okta의 고객은 Okta의 프라이드이자 Okta가 존재하는 목적이며 최우선 순위입니다. 비록 Okta의 테크놀로지가 사고 당시 탁월한 성능을 발휘하긴 했지만, Sitel측에서 발생한 사고의 경위를 파악하는 능력이 Okta 스스로도 그렇고 고객의 기대에도 미치지 못했다는 사실에 큰 책임감을 느끼고 있습니다. 

Okta의 리더십 팀은 지난 몇 주 동안 수천 명의 고객사들을 만나 당사의 대응 조치에 대해 직접 설명했습니다.

고객과의 파트너십을 한층 더 강화하여 여정을 함께한다는 마음으로 이 보고서를 마무리합니다. Okta는 당사가 수많은 회사들을 비롯해 Okta를 믿고 이용하고 있는 개개인에게 얼마나 중요한지를 실감하며 이들에게 꼭 보답하겠다는 결연한 의지를 다졌습니다.