Klue, 2022년 탈취 자격증명으로 인한 고객 데이터 유출 확인
원제: Klue says hackers stole credential from 2022 that led to customer data breaches
왜 중요한가
수년간 방치된 미폐기 자격증명으로 인한 대규모 데이터 유출 사건으로, 기업 자격증명 관리 및 공급망 보안의 중요성을 재조명하고 있다.
시장조사업체 Klue가 2022년 파일럿 프로그램용 자격증명이 6월 12일 해킹에 악용돼 LastPass 등 고객사 데이터가 대량 유출됐다고 확인했다. 해킹 그룹 Icarus가 범행을 주장하며 신원정보 공개 위협 중이다.
캐나다 벤쿠버 기반 시장조사 회사 Klue는 2022년에 제3자에게 제공한 파일럿 프로그램용 자격증명이 6월 초 해킹에 악용되어 고객사 데이터가 유출됐다고 발표했다. 유출된 고객사에는 비밀번호 관리 업체 LastPass와 여러 사이버보안 기업이 포함됐다.
해킹에 이용된 자격증명은 2022년 파일럿을 위해 제3자에게 제공된 것으로, Klue 대변인 Katie Berg는 파일럿의 목적이나 기간, 해당 제3자의 정체를 밝히지 않았다. 또한 파일럿 종료 후 왜 자격증명을 폐기하지 않았는지에 대해서도 설명하지 않았다.
해킹그룹 Icarus가 해당 사건에 대한 책임을 주장했으며, 몸값을 지불하지 않으면 탈취한 데이터를 공개하겠다고 위협 중이다. Klue는 해킹 그룹과의 접촉 여부나 협상 계획에 대해 구체적으로 밝히지 않았다.
Klue는 '통합 서비스와 연계된 레거시 자격증명'이 악용됐다고만 했으며, 직원의 사용자명과 비밀번호인지, 아니면 제3자로부터 도용된 것인지는 공개하지 않았다. 현재 자격증명 관리, 공급업체 접근 제어, 모니터링 기능, 배포 보안 프로세스 전반에 대한 종합 검토를 진행 중이라고 밝혔다.