영국항공 데이터 침해의 교훈이 그 어느 때보다 시기 적절한 이유

최종 사용자의 웹 브라우저에서 실행되는 타사 스크립트에 악의적인 공격이 주입되는 브라우저 공급망 공격은 확산이 계속 가속화되고 있음에도 불구하고 여전히 과소평가되고 보안 수준이 낮은 위협으로 남아 있습니다. 영국항공의 데이터 침해에 대한 경고 사례는 이러한 브라우저 측 공격이 얼마나 파괴적인지 처음으로 보여주었습니다. 항공사는 여전히 인기 있는 표적으로 남아 있으며 EasyJet과 Air Europa도 유사한 공격 유형을 겪고 있습니다. 하지만 그들은 혼자가 아닙니다. 더욱 최근에는 대형 보험회사인 Kaiser Permanente가 제3자 브라우저 스크립트에서 비롯된 데이터 유출이 수백만 명의 현재 및 이전 보험 회원에게 영향을 미쳤다고 공개적으로 발표했습니다 .

이러한 위협 벡터로부터 보호하는 것은 엔지니어에게 그 어느 때보다 시급하며, 브라우저 공급망 침해의 위험을 무시하는 조직은 위험을 무릅쓰고 그렇게 합니다. 영국항공 사건이 여전히 기업 사이버 보안 전략과 관련이 깊은 이유와 유사한 위협으로부터 보호하기 위해 취할 수 있는 조치는 다음과 같습니다.

공격자는 보안 허점을 악용했습니다.

영국항공 침해 사건에서 영국항공 공식 웹사이트에서 구매하기 위해 신용카드 정보를 입력한 모든 고객은 민감한 데이터를 복사하여 악성 브라우저 측 스크립트를 통해 공격자가 제어하는 도메인으로 전송했습니다. 항공사가 마침내 탐지하기 어려운 위협을 발견했을 때 400,000명이 넘는 고객의 개인 데이터가 노출되어 영국 정보위원회(ICO) 규제 기관으로부터 1억 8,300만 파운드 이상의 벌금을 부과받는 기록을 세웠습니다.

이 사건의 근원은 공격자가 화물 서비스 제공업체인 Swissport 직원의 훔친 자격 증명을 사용하여 영국항공 시스템에 로그인한 초기 침입으로 추적되었습니다. 해당 계정에는 다단계 인증 보호 기능이 부족하여 공격자가 Citrix 원격 액세스 환경에 로그인하고 원격 사용자를 네트워크의 안전한 영역으로 제한하기 위한 제한 이상으로 액세스를 확대할 수 있었습니다.

그런 다음 공격자는 추가 취약성을 찾기 위해 전체 네트워크를 조사하는 도구를 도입했습니다. 그들은 곧 도메인 관리자의 로그인 자격 증명이 포함된 암호화되지 않은 일반 텍스트 파일을 발견했습니다. 이로 인해 공격자는 도메인의 컴퓨터와 서버에 액세스하고, 구성 설정을 변경하고, 네트워크 리소스를 조작할 수 있는 기회를 얻었습니다. 그들은 서버에 로그인하기 시작했고, 다음 날 데이터베이스 관리자의 로그인 자격 증명을 발견했으며, 여유 시간에 사용할 수 있는 데이터를 인내심을 갖고 계속해서 탐색했습니다.

공격자들은 모두 일반 텍스트 로 저장된 108,000개의 결제 카드 세부 정보가 포함된 로그 파일을 발견했습니다. 실수로 남겨진 테스트 기능의 결과, 해당 데이터는 절대 저장되어서는 안 되었으며 완전히 보안되지 않은 상태로 남겨진 것도 아닙니다. 그런 다음 공격자는 영국항공 사이트의 코드가 포함된 파일을 발견하여 브라우저 공급망 공격을 준비하는 데 필요한 모든 기회를 제공했습니다.

브라우저 공급망 공격의 구조 이해

공격자들은 전략의 주요 초점으로 회사 소유의 공식 웹 주소로 쉽게 오해되는 사용 가능한 도메인 이름인 Baways dot com을 구입했습니다. 도메인은 리투아니아 호스팅 공급자를 사용하고 루마니아 외부에서 호스팅되었지만 영국항공에는 보안 담당자에게 문제가 있음을 알릴 수 있는 모니터링 기능이 없었습니다.

현대 웹사이트 개발에서는 타사 소스의 수많은 스크립트를 활용하여 사용자가 기대하는 상호작용성과 고급 기능을 구현합니다. 타사 스크립트로 구동되는 기능의 예로는 챗봇부터 마케팅 및 분석 도구, 보안 문자와 같은 보안 조치에 이르기까지 모든 것이 포함됩니다. 그러나 이러한 스크립트는 대부분 외부에서 호스팅되고 관리되기 때문에 회사에서 모니터링하고 보호하기가 특히 어렵습니다. 타사 공급업체 측의 단순한 취약점이나 오류로 인해 보안 사고가 발생할 수 있습니다. 이러한 공급업체에 보안 코드를 제공할 전문 지식이 부족하거나 비즈니스 및 인력 변경으로 인해 유지 관리 및 모니터링되지 않는 스크립트가 발생하는 경우 위험이 극심해질 수 있습니다.

침해 당시 영국항공의 웹사이트에는 약 20개의 제3자 스크립트(예약 페이지를 포함해 30개)가 로드되어 있었습니다. 사이트 방문자의 브라우저는 사이트로부터 외부 소스로부터 코드를 얻고 실행하라는 요청을 받았습니다. 이는 표준 관행이며, 브라우저는 스크립트나 스크립트에서 데이터를 보내는 엔드포인트가 적법한지 여부를 판단하도록 설계되지 않았습니다. 공격자들은 경험을 최적화하기 위해 브라우저 기능을 감지하는 데 도움이 되는 일반 스크립트인 Modernizr JavaScript 라이브러리에 악성 코드를 삽입했습니다. 영국항공 웹 서버에서 제공되는 이 손상된 스크립트 버전은 고객이 제출한 데이터의 복사본을 공격자의 사이트로 보냈습니다.

이런 식으로 약 3주 동안 영국항공 웹사이트에 입력된 모든 결제 카드 정보가 공격자들에 의해 훔쳐졌습니다. 고객은 자신의 브라우저에서 민감한 정보를 전송했음에도 불구하고 당시에는 전혀 인식하지 못했습니다. 공격자는 일반적인 웹 경험과 대기 시간을 그대로 유지하여 데이터 도난이 몇 주 동안 사용자와 보안 담당자 모두에게 투명하게 보이도록 하는 데 영리했습니다.

몇 주 후 마침내 제3자가 침해 사실을 인지하고 영국항공에 통보했을 때 영국항공은 모든 일을 올바르게 처리했습니다. 보안팀은 2시간도 채 안 돼 악성코드를 무력화하고 가짜 웹사이트를 차단했다. 고객, 지불을 처리하는 은행 및 ICO는 즉각적인 통지를 받았습니다. 그러나 피해가 발생했습니다. 항공사의 평판은 타격을 입었고 기록적인 규제 벌금이 뒤따랐으며 나중에 집단 소송이 법정 밖에서 해결되었습니다. 나중에 회사의 신속한 책임(및 전염병 구호와 관련하여)을 고려하여 벌금이 줄어들었지만 이는 누구나 간절히 피하고 싶은 에피소드였습니다.

다가올 위협의 전조

확실히 말하자면, 이 사건에서 영국항공의 보안에 대한 결함을 찾기는 어렵습니다. 당시에는 제3자 스크립트를 통해 전달된 악성 페이로드가 포함된 브라우저 공급망 공격을 안정적으로 탐지하는 데 필요한 도구를 사용할 수 없었습니다. 동시에 Magecart 공격 (17,000개 사이트에 영향을 미침)과 같은 후속 사건을 통해 해커가 원하는 취약점을 발견했다는 사실이 입증되었습니다. 오늘날에도 대부분의 조직의 보안 태세는 이러한 공격에 대한 가시성이 부족합니다. 일반적인 IT 보안 보호는 이제 전례 없는 관심을 받고 있지만 브라우저 공급망 공격의 증가하는 위협은 여전히 보안 수준이 낮거나 최소한의 규정 준수 요구 사항에만 해결됩니다.

그러나 이제 팀에 이러한 공격에 대한 강력한 방어 기능을 제공하는 보안 기능이 존재합니다. 효과적인 브라우저 공급망 보안에 필수적인 것은 악성 스크립트를 즉시 제거하도록 설계된 전략을 활용하여 타사 스크립트의 콘텐츠를 모니터링하고 지속적으로 조사하는 능력입니다. 이러한 공격의 동적 특성을 고려할 때 스크립트 소스만 조사하는 일회성 검토 또는 모니터링만으로는 충분하지 않습니다. 즉, 팀은 가능한 가장 안전한 제3자 소스를 선택하는 동시에 해당 신뢰를 지속적으로 확인해야 합니다. 또한 팀은 필요하지 않은 모든 페이지, 특히 결제 포털과 같은 민감한 페이지에서 서비스와 스크립트를 적극적으로 제거하여 우수한 보안 위생을 실천하고 환경을 강화해야 합니다.

긴급한 보안 요구 사항

웹사이트가 사용자 브라우저에 현대화된 환경을 제공하기 위해 점점 더 많은 타사 스크립트를 활용함에 따라 공격자는 더 많은 기회를 발견하게 됩니다. 팀은 영국항공에 발생한 공격과 같은 공격으로부터 교훈을 얻고 지금 브라우저 공급망을 완전히 보호하기 위한 조치를 취하거나 어려운 방법으로 배울 수 있습니다.