S2W 위협 분석 센터(TALON)의 침해사고대응팀(임정연 팀장)과 오펜시브 리서치팀(문현종 책임)에서 작성한 한국 이커머스 기업을 대상으로 클라우드 민감 정보 유출로 인해 발생한 침해사고에 대한 상세 분석 보고서를 공유드립니다.

2023년 1월 경 Breached 포럼의 donjuji 유저가 온라인 쇼핑몰 A사의 회원 정보 판매 게시글을 업로드하였고, 정확한 유출 경위 파악을 위해 피해기업의 침해사고 분석을 진행하였습니다. S2W Talon은 공격자 'Donjuji'의 클라우드 인프라 공격인 점에서 Operation name을 "CloudDon" 으로 명명하였습니다

전세계적으로 클라우드 서비스를 통해 서버와 데이터 베이스 인프라를 구축하는 방식이 보편화되고 있으며, 이에 따라 공격자들이 DDW에서 클라우드 인프라 관리 계정 및 탈취한 민감 정보를 판매하는 행위 또한 증가하고 있습니다.

해당 침해사고는 다음과 같은 주요 원인에 의해 공격자의 접근 허용 및 데이터 탈취가 발생하였습니다.

- 자산 식별 미흡 및 misconfiguration 으로 인한 Attack Surface발생

- IAM 크리덴셜 Access Control, MFA 미적용으로 인한 Account TakeOver

- Object Storage 내 민감정보 저장 및 Encryption 미적용

공격자는 Attack Surface에 노출된 구성 정보 및 주요 자산을 적극적으로 활용하고 있으므로 기업 자산에 대한 위협 요소에 대해 상시 모니터링이 필요합니다.

자세한 내용은 S2W 블로그에서 확인하실 수 있습니다.

✅ 보고서 전문 읽기: https://medium.com/s2wblog/detailed-analysis-of-clouddon-cloud-data-breach-of-korea-e-commerce-company-948c3a5df90d