크라우드스트라이크 내부자 정보유출 사건

크라우드스트라이크 내부자 정보유출 사건

글로벌 사이버보안 기업 크라우드스트라이크(CrowdStrike)가 사내 시스템 정보를 외부 해킹조직에 넘긴 내부 직원 1명을 해고했다고 발표했습니다. 이번 사건은 내부자 위협이 기술적 취약점 못지않게 심각한 보안 위험이 될 수 있음을 보여주는 대표 사례로 주목받고 있습니다.

보안 업계 조사에 따르면 내부자 위협은 연간 수천만 달러 규모의 손실을 발생시키는 것으로 알려져 있으며, 크라우드스트라이크 내부자 유출 사건은 그 심각성을 다시 한 번 부각시키고 있습니다.

1. 어떤 방식으로 정보가 유출되었나?

크라우드스트라이크는 내부 시스템 관련 정보가 외부로 전달된 정황을 포착해 조사한 끝에, 한 직원이 해킹조직과 접촉해 스크린샷 형태의 내부 정보를 제공한 사실을 확인했습니다.

• 해외 해킹조직: Scattered Lapsus$ Hunters
• 조직 구성원: Scattered Spider, Lapsus$, ShinyHunters 등의 ‘슈퍼그룹’
• 유출된 정보: 대시보드 화면, OAuth·SSO 화면, 업무 리소스 링크 등
• 유출방식: 직원 PC 화면을 캡처하여 외부로 전달

특히 스크린샷에는 내부 인증 패널과 서비스 접근 URL 등이 포함되어 있어 2차 공격의 기반이 될 수 있는 민감한 정보들이 포함된 것으로 파악되었습니다.

2. 해커 조직과의 연결 정황

해커들은 정보 유출 경로가 외부 벤더사인 게인사이트(Gainsight) 플랫폼을 통한 것이라고 주장했습니다. 게인사이트는 세일즈포스 기반 CRM 솔루션으로 많은 글로벌 기업이 사용하는 외부 협력 플랫폼입니다.

또한 해킹 조직 샤이니헌터스는 내부 네트워크 접근 권한을 넘겨주는 대가로 직원에게 2만5,000달러(약 3,300만 원)를 요구했다는 정황도 포착되었습니다.

3. 시스템 침해는 없었나?

크라우드스트라이크는 조사 결과, 외부 해킹 침입은 없었으며 직원이 단순히 자신의 PC 화면을 캡처해 전달한 것이라고 밝혔습니다. 하지만 내부자의 직접적인 협조는 보안 체계가 아무리 강력하더라도 무력화될 수 있음을 보여줍니다.

4. 내부자 위협이 위험한 이유

• 기존 보안 솔루션으로 탐지 어려움
• 합법적인 접근 권한을 악용할 수 있음
• 정보 정확성을 기반으로 표적 공격 시도 가능
• 피해 발생 시 기업 신뢰도에 치명적

내부자 위협 대응은 기술적 방어뿐 아니라, 정책·행동 분석·접근 통제·감사 체계 등이 종합적으로 필요합니다.

5. 크라우드스트라이크의 대응

• 보안운영센터(SOC)가 의심 행위 즉시 탐지
• 직원 신속 차단 및 즉각 해고 조치
• 고객 영향·시스템 침해 없음 확인

크라우드스트라이크는 기존 고객 보호가 완벽히 유지됐다고 강조하며 내부자 위협 대응 체계의 중요한 역할을 다시 한 번 부각시켰습니다.