시장 인텔리전스 제공업체 클루(Klue)가 해킹당해 헌트리스(Huntress), 해커원(HackerOne), 잼프(Jamf), 레코디드 퓨처(Recorded Future), 타니움(Tanium) 등 여러 유명 사이버 보안 기업을 포함한 고객사들의 데이터가 유출되는 대규모 보안 사고가 발생했습니다. 이카루스(Icarus)라는 사이버 범죄 그룹은 이번 공격의 배후를 자처하며, 탈취한 데이터를 공개하겠다고 협박하고 있습니다. 이번 사건은 여러 기업의 데이터를 한 번에 노리는 공급망 공격의 위험성을 다시 한번 부각시키고 있습니다.
밴쿠버에 본사를 둔 클루는 기업이 자사 데이터를 클루 시스템에 연결하여 시장 조사를 수행할 수 있도록 돕는 서비스입니다. 클루는 지난 6월 12일, 고객이 자사 클라우드 데이터를 클루 계정에 연결하는 데 사용되는 통합 도구와 관련된 '손상된 기존 인증 정보(compromised legacy credential)'를 통해 해커들이 시스템에 접근했다고 밝혔습니다. 이로 인해 해커들은 고객사의 세일즈포스(Salesforce) 데이터베이스와 같은 클라우드 데이터에 접근하여 이름, 이메일 주소, 전화번호, 직책 등 비즈니스 연락처 정보와 일부 계정 정보를 탈취한 것으로 확인되었습니다. 클루는 현재 인시던트 대응 전문 기업인 크라우드스트라이크(CrowdStrike)를 투입했으며, 추가적인 데이터 접근을 막기 위해 통합 기능을 일시적으로 중단했습니다.
이번 클루 해킹은 최근 스노우플레이크(Snowflake)나 탄스택(Tanstack) 사례처럼 단일 지점의 취약점을 통해 수많은 기업의 데이터를 탈취하는 공급망 공격의 전형적인 예시입니다. 특히 클루처럼 여러 기업의 핵심 데이터를 연결하는 미들웨어(middleware) 제공업체가 공격 대상이 되면서, 한 번의 침해로 광범위한 피해가 발생할 수 있음을 보여줍니다. 기업들은 이제 자사 시스템뿐만 아니라, 데이터를 연동하는 서드파티(third-party) 서비스 제공업체의 보안 수준까지 면밀히 검토하고 관리해야 하는 과제를 안게 되었습니다. 또한, 오래된 인증 정보 관리의 중요성과 함께 직원들의 보안 인식 제고 및 최신 보안 솔루션 도입의 필요성이 더욱 커지고 있습니다.