최근 팀 협업 도구를 제공하는 소프트웨어 기업인 아틀라시안(Atlassian)의 작업 관리 도구인 트렐로(Trello)의 약 1,500만 명의 사용자 개인정보가 다크웹에 유출되는 사건이 발생했다. 이번 유출 사건은 API 취약점을 악용한 해커의 공격으로 인해 발생한 것으로 확인되었다. 이번 글에서는 해커가 API 취약점을 악용하여 개인정보를 어떻게 탈취했는지와 팀 협업 도구가 해커의 타겟이 되는 이유 및 보안 주의사항에 대해 다루고자 한다.
API 취약점을 악용한 트렐로 개인정보 유출 과정
아틀라시안은 팀 협업 도구를 제공하는 소프트웨어 기업으로, 다양한 프로젝트 관리 도구와 소프트웨어 개발 도구를 제공한다. 그 중 트렐로는 프로젝트 관리와 협업을 위한 도구로, 보드, 카드 리스트 형태로 작업을 조직화할 수 있는 기능을 갖추고 있다. 전 세계 3,000개 이상의 기업이 트렐로를 사용하고 있으며, 사용자들은 이를 통해 효율적으로 작업을 관리하고 협력할 수 있다.
이번 트렐로 개인정보 유출 사건은 ’emo’라는 해커가 다크웹 포럼에 트렐로 사용자들의 계정 정보를 포함한 데이터베이스를 판매한다고 게시하면서 알려졌다.
트렐로 개인정보 유출 사건은 다음과 같은 단계로 진행되었다:
- 공개된 API 엔드포인트 악용
트렐로는 REST API를 통해 사용자들이 공개된 프로필 정보를 조회할 수 있는 기능을 제공했다. 이 API는 사용자 ID, 사용자 이름, 이메일 주소를 기반으로 프로필 정보를 검색할 수 있도록 설계되었다. 초기에는 API가 인증 없이 접근이 가능했다. 즉, 누구든지 API를 호출하여 공개된 정보를 검색할 수 있었으며, 이로 인해 해커는 무제한적으로 데이터를 수집할 수 있었다. - 이메일 주소 목록 활용
해커 ’emo’는 5억 개의 이메일 주소를 포함하는 대규모 목록을 준비했다. 이 목록은 다양한 소스에서 수집된 이메일 주소들로 구성되어 있었다. 이 이메일 주소 목록을 API에 입력하여 각 이메일 주소가 트렐로 계정과 연결되어 있는지 확인했다. API 호출 결과, 각 이메일 주소와 연결된 계정 정보가 반환되었다. - 데이터 조합
API 호출을 통해 반환된 데이터에는 사용자 ID, 프로필 URL, 상태 정보, 설정 및 제한 사항, 관련 보드 멤버십 정보가 포함되어 있었다. 해커는 이 정보를 수집하여 각 이메일 주소와 연결된 사용자 프로필을 생성했다. 5억 개의 이메일 주소와 API를 통해 반환된 사용자 정보를 조합하여 1,500만 개 이상의 상세 사용자 프로필을 완성했다. - 데이터 유출 및 판매
해커는 생성된 사용자 프로필 정보를 다크웹 포럼 ‘Breached’에 게시했다. 이를 통해 다른 해커나 범죄자들이 이 정보를 구매할 수 있도록 했다. ’emo’는 전체 리스트를 8 사이트 크레딧, 즉 약 $2.32에 판매했다. 유출된 정보는 대량으로 제공되었으며, 개인 정보 도용, 피싱 공격, 개인정보 노출(doxing) 등에 악용될 수 있다.
이에 아틀라시안은 이메일 주소를 기반으로 다른 사용자들의 공개 정보를 요청하는 비인가 사용자들의 접근을 차단하는 조치를 취했다고 밝혔다. 또한 API 사용을 지속적으로 모니터링하고 필요한 조치를 취할 것이라고 덧붙였다.
CTI 검색엔진으로 아틀라시안의 노출된 IP 주소 탐색
이번 트렐로 개인정보 유출 사건에 타겟이 된 트렐로를 포함한 팀 협업 도구는 항상 해커의 주요 공격 대상이 되어왔다. 대표적인 글로벌 팀 협업 도구 기업인 아틀라시안의 지라(Jira),컨플루언스(Confluence), 트렐로 등은 취약점과 공격에 노출되고 있다.
CTI 검색엔진 Criminal IP의 Asset Search를 사용하여 아틀라시안과 관련된 주요 IP 주소들을 탐색하고, 취약한 상태로 노출된 서버들을 발견할 수 있었다.
Search Query: tech_stack: Atlassian
특히, 취약점을 보유한 상태로 노출된 IP 주소도 발견할 수 있었다.
IP 주소 리포트의 하단에는 해당 IP 주소에서 운용되고 있는 포트와 서비스를 확인할 수 있다. 해당 IP 주소는 80번 포트에서 컨플루언스가 운영되고 있으며,
CVE-2023-22515
취약점을 보유한 상태로 확인된다. 기업 및 기관의 내부 문서와 자료들이 공유되는 협업 도구인 만큼 인터넷에 노출되어 있는 자체 만으로도 위협이 될 수 있으며, 심지어 알려진 취약점을 보유하고 있는 상태라면 더더욱 언제든지 해커의 타겟이 될 수 있다. 이렇듯 기업 및 기관은 협업 도구 사용 시 지속적인 보안 관리와 최신 패치를 적용할 것을 항상 주의해야 한다.
API 보안의 중요성
이번 사건은 API 보안의 중요성을 다시 한 번 일깨운다. 기업들은 API 보안 취약점을 지속적으로 모니터링하고, 비인가 접근을 차단하며, 사용자 데이터를 안전하게 보호하기 위한 조치를 강화해야 할 필요가 있다. 트렐로 사용자들은 이번 사건을 계기로 개인정보 보호에 더욱 신경을 써야 할 것이다. 이 때 CTI 검색엔진 Criminal IP를 활용하여 노출된 API 엔드포인트와 관련된 위협을 탐지하고 대응할 수 있다.
API 유출로 발생할 수 있는 사건과 관련하여 API Key 하나로 발생될 수 있는 개인 정보 유출 그리고 조작을 참고할 수 있다.
이 리포트는 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처: Criminal IP(https://www.criminalip.io/ko)
관련 글: