Coinbase 사례 공개: 해커가 어떻게 "소셜 엔지니어링"을 통해 단계적으로 침투했는가

원문 제목：Social Engineering - A Coinbase Case Study

원문 저자：Coinbase

원문 번역：GaryMa, 우설 블록체인

개요

Coinbase는 최근 한 직원에 대한 사이버 보안 공격을 경험했습니다. 다행히도 Coinbase의 사이버 보안 통제 조치가 공격자가 시스템에 직접 접근하는 것을 차단했으며, 자금 손실이나 고객 정보 유출을 방지했습니다. 우리 회사 디렉토리의 일부 데이터만 유출되었습니다. Coinbase는 투명성을 믿으며, 직원, 고객 및 커뮤니티가 이 공격의 세부 사항을 이해하고, 공격자가 사용한 전술, 기술 및 절차(TTP)를 공유하여 모두가 더 잘 보호받을 수 있기를 바랍니다.

Coinbase의 고객과 직원은 종종 사기꾼의 표적이 됩니다. 그 이유는 간단합니다. 모든 형태의 화폐, 특히 암호화폐는 사이버 범죄자들이 추구하는 목표입니다. 왜 이렇게 많은 공격자들이 빠른 이익을 얻기 위해 끊임없이 노력하는지 이해하기 쉽습니다.

이처럼 많은 공격자와 사이버 보안 도전에 대응하는 것은 제가 Coinbase를 흥미로운 직장으로 생각하는 이유 중 하나입니다. 이 글에서는 우리가 최근 Coinbase에서 처리한 실제 사이버 공격과 관련된 사건에 대해 논의할 것입니다. 이 경우 고객 자금이나 고객 정보에 영향을 미치지 않았다는 점에서 매우 기쁘게 생각하지만, 여전히 배울 수 있는 귀중한 교훈이 있습니다. Coinbase에서는 투명성을 믿습니다. 이러한 보안 문제에 대해 공개적으로 이야기함으로써, 우리는 전체 커뮤니티를 더 안전하고 보안 의식이 높아지도록 만들 수 있다고 믿습니다.

우리의 이야기는 2023년 2월 5일 일요일 늦은 시간에 시작됩니다. 몇몇 직원의 휴대폰에서 긴급 로그인하여 중요한 정보를 받으라는 문자 경고가 울리기 시작했습니다. 대부분의 사람들은 이 알림 없는 메시지를 무시했지만, 한 직원은 이것이 중요한 합법적인 메시지라고 생각하고 링크를 클릭하여 사용자 이름과 비밀번호를 입력했습니다. "로그인" 후, 해당 직원은 메시지를 무시하라는 안내를 받았고, 그들의 협조에 감사하다는 말을 들었습니다.

다음에 일어난 일은 공격자가 합법적인 Coinbase 직원의 사용자 이름과 비밀번호를 이용해 여러 차례 Coinbase에 원격으로 접근하려고 시도한 것입니다. 다행히도 우리의 사이버 보안 통제 시스템은 준비가 되어 있었습니다. 공격자는 필요한 다중 인증(MFA) 자격 증명을 제공할 수 없었기 때문에 접근이 차단되었습니다. 많은 경우, 여기서 이야기가 끝나지만, 이 공격자는 평범한 공격자가 아니었습니다. 우리는 이 사람이 지난해부터 많은 회사를 대상으로 한 고도로 지속적이고 복잡한 공격 활동과 관련이 있다고 생각합니다.

약 20분 후, 직원의 휴대폰이 울렸습니다. 공격자는 Coinbase의 정보 기술 부서에서 온 사람이라고 주장하며 직원의 도움이 필요하다고 했습니다. 합법적인 Coinbase IT 직원과 대화하고 있다고 믿었던 해당 직원은 자신의 워크스테이션에 로그인하고 공격자의 지시에 따라 작업을 시작했습니다. 이는 공격자와 점점 더 의심스러워진 직원 간의 일종의 왕복 대화가 시작된 것입니다. 대화가 진행됨에 따라 요청은 점점 더 의심스러워졌습니다. 다행히도 자금이 인출되거나 고객 정보에 접근하거나 열람된 것은 없지만, 일부 직원의 제한된 연락처 정보가 유출되었습니다. 여기에는 직원의 이름, 이메일 주소 및 일부 전화번호가 포함됩니다.

다행히도 우리의 컴퓨터 보안 사건 대응 팀(CSIRT)은 공격 발생 후 10분 이내에 이 문제를 인지했습니다. 우리의 보안 사건 및 관리 시스템이 비정상적인 활동을 감지했습니다. 그 후, 우리의 사건 대응자는 내부 Coinbase 메시지 시스템을 통해 피해자에게 연락하여 계정과 관련된 몇 가지 비정상적인 행동 및 사용 패턴에 대해 질문했습니다. 직원은 심각한 문제가 있음을 깨닫고 즉시 공격자와의 모든 통신을 종료했습니다.

우리 CSIRT 팀은 즉시 피해 직원의 모든 접근 권한을 중단하고 전면 조사를 시작했습니다. 우리의 계층적 통제 환경 덕분에 자금 손실이나 고객 정보 유출은 없었습니다. 정리 작업은 비교적 신속하게 진행되었지만, 여전히 배워야 할 많은 교훈이 있었습니다.

누구나 사회 공학 공격의 피해자가 될 수 있습니다

인간은 사회적 동물입니다. 우리는 잘 지내고 싶어하며 팀의 일원이 되고 싶어합니다. 만약 당신이 정교하게 계획된 사회 공학 공격에 속지 않을 것이라고 생각한다면, 당신은 자신을 속이고 있는 것입니다. 적절한 상황에서는 거의 모든 사람이 피해자가 될 수 있습니다.

가장 저항하기 어려운 공격은 직접 접촉하는 사회 공학 공격입니다. 우리 직원이 여기서 경험한 공격과 같습니다. 공격자는 소셜 미디어, 당신의 휴대폰, 심지어 더 나쁜 경우에는 당신의 집이나 사업장에 직접 들어와서 당신과 접촉합니다. 이러한 공격은 새롭지 않습니다. 사실, 인류의 초기부터 이러한 공격은 계속되어 왔습니다. 이는 공격자가 가장 선호하는 전략 중 하나로, 효과적이기 때문입니다.

그럼 우리는 어떻게 해야 할까요? 이러한 상황을 방지하려면 어떻게 해야 할까요?

저는 이것이 단순한 교육 문제라고 말하고 싶습니다. 고객, 직원 및 모든 사람은 더 나은 교육을 받아야 하며, 더 잘해야 합니다. 이러한 주장은 항상 어느 정도의 진실이 있습니다. 그러나 사이버 보안 전문가로서, 이는 우리가 매번 이러한 상황에 직면할 때의 변명이 될 수 없습니다. 연구는 반복적으로 모든 사람이 결국 속을 수 있다는 것을 보여줍니다. 그들이 얼마나 경계하고 숙련되었든지 간에 말입니다. 우리는 항상 나쁜 일이 발생할 수 있다는 전제에서 출발해야 합니다. 우리는 이러한 공격의 효과를 약화시키기 위해 지속적으로 혁신해야 하며, 동시에 고객과 직원의 전반적인 경험을 향상시키기 위해 노력해야 합니다.

전술, 기술 및 절차(TTP)에 대해 공유할 수 있나요?

물론입니다. 이 공격자가 광범위한 회사를 대상으로 하고 있다는 점을 고려할 때, 우리는 모든 사람이 우리가 아는 내용을 알아야 한다고 생각합니다. 다음은 기업 로그/보안 정보 및 사건 관리 시스템(SIEM)에서 확인해야 할 몇 가지 특정 사항입니다:

당신의 기술 자산에서 다음 주소로의 모든 웹 트래픽, 여기서 *는 당신의 회사 또는 조직 이름을 나타냅니다:

• sso-*.com
• *-sso.com
• login.*-sso.com
• dashboard-*.com
• *-dashboard.com

다음 원격 데스크톱 뷰어의 모든 다운로드 또는 다운로드 시도:

• AnyDesk (anydesk dot com)
• ISL Online (islonline dot com)

제3자 VPN 서비스 제공업체(특히 Mullvad VPN)를 통해 귀하의 조직에 접근하려는 모든 시도.

다음 서비스 제공업체의 전화/문자 메시지:

• Google Voice
• Skype
• Vonage / Nexmo
• Bandwidth dot com

다음 브라우저 확장 프로그램을 설치하려는 모든 비정상적인 행동:

• EditThisCookie

사이버 방어자로서, 당신은 도난당한 자격 증명, 쿠키 또는 기타 세션 토큰을 사용하여 VPN 서비스(예: Mullvad)에서 기업 애플리케이션에 로그인하려는 행동을 예상해야 합니다. 고객 지원을 위한 애플리케이션, 예를 들어 고객 관계 관리(CRM) 애플리케이션이나 직원 디렉토리 애플리케이션을 나열하려는 시도가 있을 수 있습니다. 또한 텍스트 기반 데이터를 무료 텍스트 또는 파일 공유 서비스(예: riseup.net)로 복사하려는 시도가 있을 수 있습니다.

이런 상황에 대해 이야기하는 것은 결코 쉽지 않습니다. 직원에게는 당황스러운 일이며, 사이버 보안 전문가와 경영진에게는 실망스러운 일입니다. 모든 사람에게는 실망스러운 일입니다. 그러나 커뮤니티로서 우리는 이러한 문제에 대해 더 공개적으로 논의해야 합니다. 만약 당신이 Coinbase의 고객이라면, 당신의 개인 정보를 요구하는 사람에게 항상 의심을 가져야 합니다. 절대 자격 증명을 공유하지 말고, 절대 누구에게도 개인 장치에 원격으로 접근하도록 허용하지 말며, 가능한 가장 강력한 인증 방법을 활성화하십시오. Coinbase 계정에 대해, 자산에 추가 보호 계층을 제공하기 위해 물리적 보안 토큰을 사용하는 것을 고려하십시오. 자주 거래하지 않는다면, 우리의 Coinbase Vault 솔루션을 사용하여 자산을 보호하는 것을 고려하십시오.

만약 당신이 Coinbase 또는 온라인 존재가 있는 다른 회사의 직원이라면, 당신은 공격을 받을 것입니다. 특히 누군가가 당신에게 전화하거나 연락할 때 경계를 유지하십시오. 간단한 모범 사례는 전화를 끊고 신뢰할 수 있는 전화번호나 회사 채팅 기술을 사용하여 도움을 요청하는 것입니다. 처음 연락하는 사람에게 정보나 로그인 정보를 절대 제공하지 마십시오.

만약 당신이 사이버 보안 전문가라면, 우리는 나쁜 사람들이 항상 나쁜 일을 한다는 것을 알고 있습니다. 그러나 우리는 선한 사람들도 실수를 할 수 있다는 것을 기억해야 하며, 우리의 최선의 보안 통제가 때때로 실패할 수 있음을 인식해야 합니다. 가장 중요한 것은, 우리는 항상 배우고 더 나아지기 위해 노력해야 한다는 것입니다. 우리는 모두 인간입니다. 이것은 (희망적으로) 영원히 변하지 않을 상수입니다.

안전하게 지내세요!