ShinyHunters 갱단, Okta, Microsoft, Google SSO 계정 피싱 공격 책임 주장

ShinyHunters 공갈 갱단이 Okta, Microsoft, Google 등 주요 단일 사인온(SSO) 제공업체를 대상으로 한 지속적인 보이스 피싱(vishing) 공격에 대한 책임을 주장했습니다. 이러한 공격은 위협 행위자들이 기업 SaaS 플랫폼을 침해하고, 민감한 데이터를 유출하며, 피해 조직으로부터 공갈금을 요구할 수 있게 합니다.

공격 캠페인의 기술적 세부 사항

보고서에 따르면, 위협 행위자들은 보이스 피싱(vishing) 기법을 활용하여 직원이 SSO 자격 증명을 공개하도록 속이고 있습니다. 이러한 자격 증명을 획득하면, 클라우드 스토리지, 협업 도구, 내부 데이터베이스를 포함한 기업 SaaS 애플리케이션에 대한 무단 접근이 가능해집니다. ShinyHunters 그룹은 데이터 탈취 및 공갈로 잘 알려져 있으며, 협박 요구가 수용되지 않으면 다크 웹 포럼에 유출 정보를 게시하는 경우가 많습니다.

초기 침해 방법의 정확한 세부 사항은 아직 명확하지 않지만, 피싱 저항형 다중 인증(MFA) 및 조건부 접근 정책이 이러한 공격에 대한 중요한 방어 수단입니다. 보안 연구자들은 SSO 자격 증명이 여러 기업 시스템에 광범위한 접근 권한을 부여할 수 있는 고가치 표적임을 강조합니다.

조직에 대한 영향 및 위험

SSO 계정 침해가 성공할 경우 다음과 같은 결과가 발생할 수 있습니다:

• 민감한 기업 데이터에 대한 무단 접근
• 클라우드 환경 내에서의 횡적 이동
• 데이터 유출 및 공갈 요구
• 평판 손상 및 규제 제재

Okta, Microsoft, Google와 같은 고프로파일 플랫폼을 대상으로 한 점을 고려할 때, 이러한 SSO 솔루션을 사용하는 조직은 위험 증가를 가정하고 적극적인 위협 탐지 및 대응을 우선시해야 합니다.

권장되는 완화 조치

보안 팀은 다음 조치를 취할 것을 권장합니다:

1. 모든 SSO 계정에 대해 피싱 저항형 MFA(예: FIDO2 보안 키)를 적용합니다.
2. 특히 익숙하지 않은 위치나 기기에서의 비정상적인 로그인 시도를 모니터링합니다.
3. 위험 요소를 기반으로 접근을 제한하는 조건부 접근 정책을 구현합니다.
4. 직원이 보이스 피싱 및 피싱 시도를 인식할 수 있도록 정기적인 보안 인식 교육을 실시합니다.
5. 최소 권한 접근 제어를 보장하기 위해 SSO 설정을 검토 및 감사합니다.

이 캠페인이 여전히 활발히 진행 중이므로, 조직은 경계심을 유지하고 의심스러운 활동을 즉시 자사의 ID 제공업체 및 사이버 보안 팀에 보고해야 합니다.