미국의 표백제 및 세정용품 제조업체 크로락스(Clorox)가 IT 서비스 기업 코그니전트를 상대로 3억 8,000만 달러 규모의 소송을 제기했다. 단순히 전화를 걸어온 사이버 범죄자에게 별도 확인 절차 없이 네트워크 비밀번호를 넘겨줬다는 이유다.
캘리포니아 법원에 제출된 소장에 따르면 크로락스는 “코그니전트는 정교한 수법이나 고도화된 해킹 기술에 속은 것이 아니었다. 사이버 범죄자는 단순히 서비스 데스크에 전화를 걸어 크로락스 네트워크 접속 정보를 요청했고, 코그니전트는 이를 그대로 넘겨줬다”라고 주장했다.
‘비밀번호가 무엇인가요?’
소장에는 공격자가 크로락스 네트워크에 쉽게 접근할 수 있었던 과정을 보여주는 녹취록이 그대로 담겼다. 특히 보안 체계가 사실상 작동하지 않았음을 보여주는 한 사례에서, 사이버 범죄자는 단순히 “비밀번호가 없어 접속할 수 없다”라고 말했다.
코그니전트 직원은 이에 “네. 비밀번호를 알려드릴게요”라고 즉시 응답한 뒤, “Welcome…”으로 시작되는 비밀번호를 그대로 전달했다.
이 같은 대응은 2023년 8월 11일 하루 종일 반복됐으며, 공격자는 비밀번호 초기화, 다단계 인증 재설정, 문자 인증용 전화번호 변경 요청까지 성공시켰다. 이 과정에서 직원 사번, 관리자 이름 등 어떠한 신원 확인 정보도 요청하지 않았다고 크로락스는 주장했다.
그레이하운드리서치(Greyhound Research)의 수석 애널리스트 산치트 비르 고기아는 “이번 침해는 멀웨어나 제로데이 취약점 때문이 아니라, 기본적인 신원 확인 절차의 부재로 인해 발생했다. 아웃소싱을 책임 회피 수단으로 여겨선 안 된다”라고 설명했다.
사회공학 전문 조직이 배후로 지목
2023년 발생한 해당 사이버 공격은 IT 헬프데스크를 겨냥한 정교한 사회공학 기법으로 잘 알려진 사이버 범죄 조직 ‘스캐터드 스파이더(Scattered Spider)’의 소행으로 추정됐다. 하지만 이번 사례에서는 복잡한 기술적 수단이 아니라 극히 단순한 방식으로 침투에 성공한 점이 주목되고 있다.
에베레스트 그룹(Everest Group)의 시니어 애널리스트 프라브죠트 카우르는 “스캐터드 스파이더가 단순히 ‘비밀번호를 재설정해 달라’는 요청만으로 성공한 것은 위협 행위자들이 항상 가장 간단한 사회공학 기법부터 시도한다는 사실을 보여준다”라며 “이런 수법이 통하지 않을 때에야 음성 복제나 딥페이크 같은 고도화된 수단을 사용하게 된다”라고 설명했다.
소장에 따르면 공격자들은 동일한 방식으로 여러 크로락스 직원의 계정을 조직적으로 침해했다. 한 직원의 계정 정보를 확보한 뒤, 같은 날 여러 차례 전화를 걸어 MFA 인증을 반복적으로 초기화했으며, 코그니전트 직원들은 이처럼 비정상적인 요청에도 일절 의심 없이 응답한 것으로 나타났다.
보안교육 약속 이후 훈련 실패
소장은 크로락스가 이런 유형의 공격을 방지하기 위해 별도로 마련한 절차를 사전에 공유했음에도 공격이 발생했다고 밝혔다. 크로락스 내부 서비스 데스크 매니저는 코그니전트 팀 리더들과 매주 회의를 진행했고, 최신 보안 절차가 실제로 적용되고 있는지 반복적으로 확인했다고 강조했다.
2023년 2월, 코그니전트 서비스 데스크 리더는 “팀을 교육시켰다”라는 보고와 함께 관련 훈련이 완료됐다고 확인했지만, 8월 발생한 공격은 이러한 확약이 사실과 달랐음을 드러냈다.
소장은 “이번 사이버 공격은 모든 것이 허울뿐인 거짓이었음을 보여줬다. 코그니전트가 크로락스의 보안 정책과 절차, 또는 최소한의 업계 기준에 따라 직원들을 제대로 교육했다면 이 사고는 발생하지 않았을 것”이라고 지적했다.
크로락스는 초기 침해 이후에도 코그니전트의 대응 실패가 계속됐다고 주장했다. 크로락스가 침입 사실을 3시간 내에 탐지했음에도, 코그니전트는 15분이면 충분했을 핵심 보안 도구의 재설치에 1시간 이상을 소요했고, 잘못된 IP 주소 목록을 제공해 차단 조치에는 8시간의 지연이 발생했다고 지적했다.
소장은 “크로락스는 시스템을 오프라인으로 전환하고, 제조를 중단했으며, 수 주간 주문 처리를 수작업에 의존해야 했다”라고 밝혔다. 이번 사이버 공격으로 발생한 총 피해액은 약 3억 8,000만 달러에 달하며, 이 중 4,900만 달러 이상이 복구 비용이고 나머지는 수익 손실 등 영업 중단에 따른 피해로 알려졌다.
벤더 책임을 둘러싼 법적 영향
고기아는 “이번 소송은 보안 침해 대응을 기술적, 운영상의 문제에서 법적 영역으로 전환시키는 계기가 될 수 있다. 이를 통해 기업들이 책임 소재를 재조정하고, 계약 구조와 회복탄력성 설계 방식을 전면적으로 재검토할 가능성이 있다”라고 분석했다.
크로락스는 이번 소송에서 계약 위반, 성실 이행 의무 위반, 중대한 과실, 고의적 허위 진술 등 4가지 법적 사유를 제시했다. 이 중 중대한 과실에 대해서는 “통상적인 주의 의무에서 극단적으로 벗어난 행위”라고 표현하며 코그니전트의 대응을 강하게 비판했다.
카우르는 “크로락스의 소송은 외부에 위탁된 헬프데스크가 치명적인 단일 실패 지점이 될 수 있음을 보여준다. 기업은 이를 다른 핵심 통제 수단과 마찬가지로 엄격히 관리해야 한다”라고 언급했다. 또한 다단계 인증과 상급자 공동 승인을 포함한 ‘제로 트러스트 기반의 초기화 절차’를 계약서에 반드시 명시해야 한다고 조언했다.
카우르는 “크로락스가 3억 8,000만 달러에 달하는 손해배상을 청구한 것은 IT 아웃소싱 계약에서 관행적으로 설정되는 책임 한도가 실제 위협 규모를 반영하지 못한다는 점을 보여준다. 기업은 서드파티 보안 실패를 최상위 수준의 기업 리스크로 인식하고 관리해야 한다”라고 설명했다.
이번 사건은 보안 책임자들에게 기술적 보안 통제만큼이나 ‘사람에 의한 검증 절차’ 역시 엄격하게 관리돼야 한다는 점을 상기시킬 수 있다. 단순한 서비스 수준 협약(SLA)에 그치지 않고, 구체적인 운영 요건을 명시한 계약 조항이 필요할 수 있다.
dl-ciokorea@foundryco.com
Read More from This Article: 생활용품 업체 크로락스, 코그니전트에 3억 8,000만 달러 소송 제기
Source: News