클라우드 스토리지 서비스인 드롭박스(Dropbox)가 피싱에 의해 깃허브에 저장된 코드 일부를 도난당했다고 발표했다. 드롭박스에 따르면 이번 데이터 침해로 인한 사용자 개인 정보 유출은 전혀 없으며 유출된 코드는 드롭박스 핵심 앱과 인프라에 영향을 미치지 않는다고 한다.
지난 9월 깃허브는 사용자를 대상으로 하는 피싱 공격에 대한 경고를 했다. 이 공격은 공격자가 코드 통합‧배달 플랫폼(CircleCI)을 스푸핑하고 깃허브 계정에 액세스하려 한다는 보고였다.
이어 10월 14일 깃허브가 의심스러운 행동에 대해 드롭박스에 경고했다. 드롭박스가 조사한 결과 위 피싱 공격과 마찬가지로 서클CI를 가장하는 공격자가 드롭박스가 보유한 깃허브 계정에 액세스하려 했다는 것이다.
이 공격자는 드롭박스 사용자 보존 데이터와 암호, 결제 정보에 액세스하지 않았다고 판명됐다. 공격자가 액세스할 수 있던 건 드롭박스 개발자가 사용하는 자격증명으로 코드, 드롭박스 직원 정보, 고객 목록, 판매 리드, 벤더 개인 정보 등이 포함되어 있다. 따라서 위험은 최소한이지만 영향을 받은 사람에게는 통지를 했다고 한다.
드롭박스는 깃허브를 이용해 공용 리포지토리와 비공개 리포지토리를 호스팅하며 일부 내부 배포에는 서클CI를 이용한다. 2022년 10월 초 여러 드롭박스 사용자가 서클CI로 스푸핑한 피싱 메일을 받았다. 이 피싱 메일은 드롭박스 깃허브 계정에 대한 무단 액세스를 목표로 했으며 깃허브 자격 증명을 사용해 서클CI에 로그인할 수 있는 계정으로 전송됐다.
드롭박스 시스템은 이런 메일 중 일부를 자동 격리했지만 나머지 메일은 드롭박스 직원 받은편지함에 도착했다. 이런 메일에는 가짜 서클CI 로그인 페이지 URL이 기재되어 있으며 이로부터 깃허브 계정 사용자명과 암호, 하드웨어 인증키를 이용한 원타임 암호를 훔친 것으로 보인다. 이로 인해 공격자는 드롭박스가 운영하는 130개 깃허브 리포지토리에 액세스할 수 있다고 한다.
공격자가 액세스할 수 있는 리포지토리에는 타사 라이브러리 자체 복사본, 내부에서 개발 중인 프로토타입 앱, 보안팀이 사용하는 여러 팀 구성 파일이 포함되어 있었다고 한다. 드롭박스는 중요한 건 핵심 앱과 인프라 관련 코드는 포함되지 않았다는 것이라고 밝히고 있다.
깃허브로부터 의심스러운 거동 관련 통지를 받은 뒤 드롭박스는 곧바로 공격자의 깃허브에 대한 액세스를 차단했다. 드롭박스 보안팀은 공개된 모든 개발자 자격 증명을 조정하고 액세스 또는 도난당한 고객 데이터를 식별하기 위해 조치를 취했다. 드롭박스는 로그를 확인했지만 무단 액세스된 데이터가 악용된 흔적은 찾지 못했다고 밝히고 있다. 드롭박스는 앞으로 비슷한 일이 일어나지 않도록 WebAuthn 채택 프로세스를 가속화하고 있다. 관련 내용은 이곳에서 확인할 수 있다.