클라우드 서버를 제공하는 디지털오션(DigitalOcean)이 자사 서비스를 이용하는 고객 계정 일부에서 비밀번호가 재설정되어 액세스 불가능한 문제가 발생했다고 발표했다. 디지털오션은 오류 원인은 이메일 배달 도구인 메일침프(Mailchimp)에서 무단 액세스가 발생했다고 보고하고 있다.
디지털오션에 따르면 디지털오션 엔지니어링팀 내부 테스트를 통해 메일침프를 통해 전달된 거래 메일이 고객에게 닿지 않게 된 게 8월 8일 15시 30분 발각됐다는 것. 설문 조사 결과 디지털오션 내 메일침프 계정 자체가 중지됐기 때문에 고객에게 메일을 보낼 수 없었다. 메일침프가 정지해버려 디지털오션 메일에 의한 확인이나 비밀번호 리셋에 관한 메일, 클라우드 서버 상태를 보내는 경고 메일 등을 보낼 수 없게 되어 버렸다고 한다.
디지털오션 측이 메일침프에 문의하자 메일침프 측은 디지털오션 계정은 이용 불가가 되고 있다며 디지털오션이라는 유저명 계정은 서비스 위반에 의해 현재 정지중이라는 메일이 보내져 왔다고 한다.
한편 8월 8일 같은 시기 디지털오션 보안팀이 고객으로부터 아무런 연락 없이 암호가 마음대로 리셋됐다는 연락이 있었다고 보고를 받았다. 이 비밀번호 재설정과 메일침프 계정 정지와 관련이 있다고 생각한 디지털오션 측은 조사를 시작했다.
그러자 8월 7일 메일침프에서 보내온 메일에 디지털오션 것과는 다른 이메일 주소가 표시되어 있는 게 판명됐다. 이 메일 주소는 8월 6일 이전 이메일에는 포함되어 있지 않았기 때문에 디지털오션은 이 메일로부터 메일침프 계정이 침해됐다고 확신했다. 곧바로 메일침프에 연락을 취하고 추가 조사를 실시한 결과 메일침프 내부 도구를 침해한 공격자가 디지털오션 계정을 비롯한 여러 계정에 무단 액세스하고 있었다는 걸 공식적으로 알렸다.
그런 다음 공격자로 보이는 IP 주소를 따라 가면 비밀번호를 재설정한 고객의 디지털오션 계정이 확인됐다. 이후 디지털오션은 메일침프에서 다른 메일 서비스 공급자로 마이그레이션하고 문제를 일단 해결했다고 한다. 디지털오션은 이번 소둥에서 3가지 점을 배웠다고 밝히고 있다.
첫째 생태계는 취약하며 신뢰 연결이 붕괴되면 시스템 전반에 심각한 영향을 미칠 수 있다는 것. 디지털오션 위협 모델과 보안 가시성은 타사 SaaS나 PaaS 환경에서 개선되어야 한다는 것이다.
둘째는 사업 계속 계획에선 타사 가동 중지 시간을 더 적절하게 고려할 필요가 있으며 타사 서비스에 의존해 손실을 개선할 수 있다는 것이다.
셋째는 공격자 표적이 되어도 2단계 인증을 설정하고 있다면 계정이 완전히 침해될 일은 없기 때문에 2단게 인증 설정을 고객에게 호소하고 있다.
덧붙여 메일침프는 8월 12일자로 메일침프 암호화폐 관련 사용자를 표적으로 한 공격이 있어 의심스러운 액티비티를 검출한 계정을 일시 정지하는 예방 조치를 강구했다고 발표하고 있지만 구체적으로 어떤 보안 장애가 있었는지는 밝히지 않았다. 관련 내용은 이곳에서 확인할 수 있다.