Home / Knowledge / 접근 거부: Ledn이 최근 HubSpot 침해로부터 클라이언트 데이터를 어떻게 보호했는가

접근 거부: Ledn이 최근 HubSpot 침해로부터 클라이언트 데이터를 어떻게 보호했는가

접근 거부: Ledn이 최근 HubSpot 침해로부터 클라이언트 데이터를 어떻게 보호했는가 1

지난 몇 주와 몇 달 동안, 대형 및 소형 여러 암호화폐 회사들이 마케팅 서비스 제공업체의 데이터 유출 피해를 입었습니다. HubSpot이 최근 겪은 데이터 유출 사건은 주목할 만한 예입니다.

그 결과, 영향을 받은 회사의 수백만 명의 고객 개인 정보가 노출되었습니다. 일부 경우에는 이들의 계정에 대한 추가 세부 정보도 포함되었습니다.

영향을 받은 고객들은 이제 특정 서비스의 사용자로 확인되었으며, 주로 암호화폐 및 디지털 자산 분야에 속해 있어 피싱 공격, 사회 공학 및 기타 유형의 공격에 취약해졌습니다.

Ledn은 최근 HubSpot 사건을 포함한 어떤 데이터 유출에도 영향을 받지 않았습니다.

Anton Livaja는 Ledn의 정보 보안 팀의 리더입니다.

이 결과는 표준 보안 조치를 넘어 회사의 관행을 우리 고유의 산업 위험에 맞게 조정한 결과입니다. 우리는 고객의 데이터와 고객의 자산을 동일하게 소중히 여기며, 이를 보호하기 위해 할 수 있는 모든 것을 다하고 있습니다.

다른 많은 산업의 회사들과 마찬가지로, Ledn은 블로그, 이메일 및 랜딩 페이지 관리를 위해 HubSpot을 사용합니다. HubSpot은 올바르게 사용될 경우 기업이 고객과 효율적으로 소통할 수 있도록 도와주는 강력한 도구입니다. 자동화 플랫폼을 사용하는 것은 마케팅을 향상시키는 좋은 방법이지만, 항상 보안을 최우선으로 고려하는 것이 중요합니다. 다행히도, 기업들이 HubSpot과 같은 플랫폼과 상호작용할 때 위험을 최소화할 수 있는 방법이 있습니다.

이 글에서는 최근 HubSpot 사건을 분석하고 Ledn의 고객 데이터가 보호된 결과를 가져온 조치를 강조합니다. 이러한 방법을 활용함으로써 다른 회사나 기관은 이러한 유형의 벡터로부터 고객 데이터를 보호하기 위한 추가적인 계층을 추가할 수 있습니다.

우리는 우리의 행동과 배운 점을 공개적으로 보여줌으로써 다른 사람들이 미래에 유사한 사건을 피하고 보안 태세를 강화하는 데 도움을 줄 수 있기를 희망합니다.

시작해 봅시다.

무슨 일이 있었나요?

HubSpot은 그들의 직원 중 한 명이 침해당했기 때문에 데이터 유출을 겪었습니다. 이로 인해 공격자는 침해된 HubSpot 계정을 사용하여 여러 고객 계정에 접근할 수 있었으며, 특히 암호화폐 회사를 목표로 삼았습니다.

직원의 계정이 어떻게 침해되었는지, 그리고 이 시나리오를 완화하기 위한 추가적인 통제가 왜 없었는지는 불분명합니다. 이는 2020년 Ledger가 겪었던 HubSpot 침해로 인한 또 다른 암호화폐 중심 데이터 유출 공격입니다.

HubSpot의 공개 사건 보고서는 여기에서 확인할 수 있습니다.

보고서에서:

“왜 HubSpot 직원이 HubSpot 고객 데이터에 접근할 수 있었나요?

“일부 직원은 HubSpot 계정에 접근할 수 있습니다. 이는 계정 관리자 및 지원 전문가와 같은 직원들이 고객을 도울 수 있도록 합니다. 이 경우, 나쁜 행위자가 직원 계정을 침해하여 소수의 HubSpot 계정에서 연락처 데이터를 내보내는 데 이 접근을 이용할 수 있었습니다.”

Ledn은 어떻게 스스로를 보호할 수 있었나요?

Ledn이 HubSpot 침해의 영향을 받지 않은 주된 이유는 고객의 데이터를 보호하는 데 대한 우리의 집착과 그에 따라 공급업체의 데이터 접근을 제한하는 것입니다.

외부 공급업체를 사용하기로 결정할 때, 우리에게 중요한 고려 사항은 공급업체 직원의 데이터 접근을 비활성화할 수 있는 능력이 있는지 여부입니다. HubSpot의 경우, 우리는 항상 직원 접근을 비활성화하며, 필요할 경우 HubSpot 직원이 지원을 제공하는 데 필요한 기간 동안만 활성화하고, 그 이후 즉시 비활성화합니다 — 이는 최소 권한 원칙을 적용하는 것입니다.

Ledn에서는 제3자 공급업체를 사용할 때, 우리가 완전히 정량화할 수 없는 위험을 감수한다고 가정하며, 그 이유로 추가적인 예방 조치를 취해야 합니다.

더 큰 회사에 대해 더 높은 신뢰를 가지는 경향이 있지만, 그들이 보안에 많은 투자를 한다고 가정합니다. 하지만 우리는 신뢰할 수 있지만, 또한 검증해야 합니다; 검증할 수 없는 경우, 공격 표면을 줄이기 위해 가능한 모든 방법을 적용해야 합니다.

플랫폼 직원의 데이터 접근을 제한하는 것은 이 기능이 제공되는 곳에서 사용하는 관행이며, 제3자 공급업체 평가 기간 동안 우리가 찾는 것입니다. 많은 회사들이 이 기능을 제공하며, 제공하지 않을 경우, 우리는 종종 공급업체에게 이 기능을 추가해 달라고 요청합니다. 이는 종종 구현이 상대적으로 수월하고 양측의 보안 태세를 개선하기 때문입니다.

제3자 공급업체의 최종 사용자 데이터 접근 제한은 제로 트러스트 환경에서의 모범 사례입니다.

궁극적으로 내부 위협은 모든 회사에서 중요한 고려 사항이며, 단일 실패 지점을 제거하는 데 집중해야 합니다. 누군가가 침해되더라도 피해를 줄 수 없도록 해야 합니다. 회사의 위협 모델에 구축해야 할 유용한 가정은 모든 회사에서 항상 모든 팀의 적어도 한 개인이 강요를 받거나 침해당하고, 모든 기계가 항상 침해당하며, 적들이 자금이 풍부하고 인내심이 있다는 것입니다.

회사가 제3자 서비스 제공업체를 사용할 때 고객 데이터를 어떻게 더 보호할 수 있나요?

항상 제3자 공급업체와 공유해야 하는 데이터만 공유하도록 하십시오. 제3자와 개인 정보를 공유하는 것은 신중하게 고려해야 하며, 일반적으로 절대적으로 필요한 경우에만 수행해야 합니다.

예를 들어, 규제 요건으로 인해 데이터를 공유해야 할 수 있습니다. 제3자 공급업체와 데이터를 공유하기로 결정한 경우, 플랫폼이 기능을 수행하는 데 필요한 데이터의 하위 집합으로 제한하십시오.

제3자 공급업체가 필요한 경우, “기본 원칙” 접근 방식을 사용하여 실사를 수행해야 합니다. 이는 위험을 신중하게 평가하고, 공급업체가 상호작용할 데이터 유형을 고려하며, 그들이 이를 어떻게 보호할 것인지 결정하는 것을 의미합니다.

공급업체의 보안이 필요한 데이터를 보호하지 못하는 경우, 다른 공급업체를 찾거나, 우리가 Ledn에서 자주 하는 것처럼 내부에서 구축하는 대안을 고려해야 합니다.

IT 및 정보 보안 부서에 의해 검증되고 온보딩되지 않은 기술을 사용하는 관행인 섀도우 IT를 직원들에게 지속적으로 상기시키는 강력한 문화를 갖는 것이 중요합니다. 이는 조직의 전반적인 보안 태세에 심각한 영향을 미칠 수 있는 위험한 관행입니다. 모든 팀이 새로운 도구와 조직 서비스를 선택하는 데 IT 및 정보 보안이 필수적이어야 한다는 것을 잘 이해해야 합니다.

또한 플랫폼은 종종 추가적인 보안 계층을 추가하는 기능을 제공하므로, 어떤 기능이 제공되는지 문의하는 것이 유용합니다. 제3자 공급업체 측과 내부에서 위험을 완화하기 위해, 다음과 같은 사항을 살펴보고 문의하며 구현할 통제 사항에 대한 조언을 드립니다:

  • 공급업체 직원의 데이터 접근을 직접 비활성화/제한합니다.
    • HubSpot 직원이 귀하의 데이터에 접근하지 못하도록 하는 방법에 대한 가이드입니다.
  • 제3자 공급업체에 고객 데이터 접근을 제한하기 위한 내부 통제가 어떤 것이 있는지 문의하십시오. 살펴봐야 할 사항은:
    • 하드웨어 토큰(예: Yubikey, Titan Security Key 또는 기타 스마트 카드 장치 또는 개인 하드웨어 보안 모듈, HSM 장치)의 사용.
    • 빠른 신원 온라인(Fast Identity Online) 또는 FIDO 인증 프로토콜 사용 의무.
    • 민감하고 특권 있는 접근을 방지하기 위한 이중 통제 또는 n-of-m 인증.
    • 그들의 접근 복구 프로세스가 어떻게 생겼는지; 충분히 엄격하지 않다면, 이는 그들의 인증 메커니즘을 우회하는 데 사용될 수 있습니다.
    • 중요한 인프라에 접근하는 엔지니어가 제한된 네트워크 접근을 가진 강화된 기계를 사용하여 프로덕션 시스템과 상호작용하는 작업을 수행하는 “생산 엔지니어링” 관행이 있는지 여부.
  • 인증서 기반 인증: 암호화 인증서를 사용하면 자산에 대한 접근이 인증서를 보유한 사람에게만 제한됩니다. 이는 합법적인 인증서를 보유한 장치에만 접근을 바인딩하는 특별한 파일로 생각할 수 있습니다. 중요한 서비스(예: 단일 로그인(SSO) 제공업체 또는 상호 전송 계층 보안(mTLS)을 사용하는 중요한 서비스에 대한 접근을 제한하는 데 인증서 기반 인증을 사용하는 것이 권장됩니다. 인증서 기반 인증에 대해 더 알아보려면 여기를 클릭하십시오.
  • IP 안전 목록: 서비스는 특정 IP 주소로만 접근을 제한하는 기능을 제공하는 경우가 많습니다. 이를 활용하려면 정적 IP가 필요합니다: 사용자 그룹을 위해 이를 달성하는 한 가지 방법은 가상 사설망(VPN)을 사용하는 것입니다.
  • 암호화에 자신의 키를 사용하는 것. 종종 제3자 공급업체에 저장된 데이터를 암호화하는 데 자신의 키를 사용할 수 있습니다. 이는 그들이 침해될 경우 위험을 줄이는 데 도움이 되는 추가적인 보증입니다. 왜냐하면 데이터를 복호화하는 데 사용되는 키가 귀하와 함께 저장되기 때문입니다 — 그들의 시스템 외부에 있으며, 비상시 접근을 취소할 수 있는 능력이 있습니다.
  • 그들의 서비스 사용자에 대한 다단계 인증(MFA) 유형; 비대칭 암호화 기반 인증이 현재 우리가 사용할 수 있는 최선의 방법입니다. 이는 암호화폐를 위한 하드웨어 지갑을 사용하는 것과 유사합니다. WebAuthn/Universal 2nd Factor가 선호되며, Yubikey 및 Titan Security Key는 FIDO 인증 프로토콜 가족을 지원하는 인기 있는 장치입니다. 이 기술을 아직 사용하지 않고 보안에 관심이 있다면, 꼭 하나를 구입할 것을 강력히 권장합니다. Ledn은 가까운 미래에 이 유형의 MFA 지원을 출시할 예정입니다.
  • 단일 로그인 지원: SSO 기술은 여러 서비스에 대한 제어를 중앙 집중화된 지점에서 적용할 수 있게 해줍니다. SSO를 올바르게 구성하지 않으면 큰 단일 실패 지점이 될 수 있으므로 주의해야 합니다. 앞서 언급했듯이, SSO에 대한 접근을 제한하는 추가 계층으로 인증서 기반 인증을 사용하는 것이 권장되며, 바람직하게는 mTLS 설정에서 사용해야 합니다.
  • 비밀번호 관리: 비밀번호 관리자를 사용하는 것은 기본적인 보안 모범 사례입니다. 아이디어는 강력한 마스터 패스프레이즈(최소 16자 이상)를 사용하고, 비밀번호 관리기에 저장된 모든 비밀번호는 매우 길고 복잡해야 한다는 것입니다(42자 이상, 일반적으로 사용 가능한 내장 비밀번호 관리자를 사용하여 생성됨). 경험 법칙은: “모든 비밀번호를 기억하고 있다면, 잘못하고 있는 것입니다.”

최근 HubSpot 사건에서 서비스 제공업체가 내 개인 데이터를 유출했습니다. 나는 무엇을 할 수 있나요?

공격 위험을 줄이기 위해 취할 수 있는 몇 가지 단계가 있습니다:

  1. 재무 거래를 처리할 수 있는 모든 계정에서 2단계 인증을 활성화하십시오. Yubikey와 같은 보안 토큰이나 SMS 대신 인증자 기반 2FA(일명 TOTP)를 사용하는 것이 좋은 방법입니다. 여기까지 오셨으니, 여러분을 위한 작은 사전 발표를 드립니다: Ledn은 이번 분기에 WebAuthn 지원을 출시할 예정입니다.
  2. 두 번째로, 모든 서비스에서 플랫폼 이메일에 대한 피싱 방지 문구를 활성화하십시오. 피싱 방지 문구에 대해 더 알아보려면 여기를 클릭하십시오. 추측하기 어려운 것을 사용하십시오. 공격자는 종종 소셜 미디어를 통해 그들이 좋아하거나 이야기하는 것에 대한 프로필을 만들어 보다 효과적이고 정교한 공격을 할 수 있도록 합니다.
  3. 재무 거래를 처리할 수 있는 모든 서비스에서 안전 목록을 활성화하십시오. 이는 귀하의 계좌에서 이전에 지정된 주소로의 인출을 제한합니다. 이 기능의 적절한 구현은 주소를 추가한 후 “쿨다운” 기간을 포함해야 하며, 이 기간 동안 해당 주소로 송금할 수 없습니다. 일반적으로 24-48시간 동안 이 기간이 주어져 반응할 시간을 더 많이 제공합니다.
  4. 서비스 제공업체에 연락하여 그들이 이제 제3자 공급업체가 고객 데이터에 접근하는 것을 제한했는지 확인하십시오. 절대적으로 필요한 시간 창을 제외하고는 접근을 제한해야 합니다.
  5. 추가 권장 사항은 사용하는 각 암호화폐 플랫폼에 대해 고유한 이메일을 사용하는 것입니다. 이렇게 하면 하나의 플랫폼이 침해될 경우 다른 플랫폼에서 타겟팅하기가 훨씬 더 어려워집니다. 사용자 이름/이메일을 민감한 서비스의 비밀번호처럼 취급하십시오.
  6. Darknet Diaries의 112회를 들어보십시오. 암호화폐 산업의 적들이 어떻게 생각하는지에 대한 훌륭한 통찰력을 제공합니다. TL;DR을 원하신다면 45분부터 시작하십시오.
  7. 또한 보안 및 개인 정보 태세의 다양한 측면을 개선하는 방법에 대한 광범위한 권장 사항 목록이 포함된 이 훌륭한 리소스를 사용할 수 있습니다: https://github.com/Lissy93/personal-security-checklist

이 글은 Anton Livaja의 게스트 포스트입니다. 표현된 의견은 전적으로 그들의 것이며 BTC Inc. 또는 Bitcoin Magazine의 의견을 반드시 반영하지는 않습니다.

관련 기사

마이애미 IT 직원, 전 상사로부터 190만 달러 비트코인 절도 혐의로 체포 1

마이애미 비트코인 절도, IT 직원 체포

  • No Comments

마이애미의 한 남성이 경찰에 따르면 전 직장에서 거의 200만 달러 상당의 비트코인을 훔친 혐의로 여러 중범죄 혐의에 직면해 있습니다. 이

카사, 비트코인 보유자를 겨냥한 증가하는 사회 공학 공격에 대응하기 위해 네 가지 보안 기능 출시 1

사회 공학 공격에 대응하는 카사 기능

  • No Comments

비트코인 보안 회사 카사는 2025년 암호화폐 도난의 대부분을 차지하는 공격 벡터인 사회 공학을 겨냥한 네 가지 기능을 출시했습니다. 이 기능은

마스터카드, 디지털 자산 전략을 강화하기 위해 뉴욕 비트라이센스 확보 1

마스터카드, 비트라이센스 획득

  • No Comments

마스터카드는 뉴욕주 금융 서비스국(NYDFS)으로부터 비트라이센스를 받았으며, 이는 이 결제 거대 기업이 미국에서 가장 엄격한 암호화 규제 프레임워크 중 하나 아래에서

크라켄, 비트코인 보관소 출시 - BTC 보유에 대한 수익 제공 1

비트코인 보관소 | 크라켄의 새로운 금융 솔루션

  • No Comments

크라켄은 고객이 자산을 판매하지 않고도 비트코인 보유량에 대해 BTC 기준 보상을 받을 수 있는 새로운 제품인 비트코인 볼트를 크라켄 어

폴드, 비트코인 신용 카드 성장을 위한 1억 5천만 달러 유치 1

비트코인 신용 카드, Fold의 성장 동력

  • No Comments

Fold Holdings, Inc., 최초의 상장된 비트코인 금융 서비스 회사가 Encina Lender Finance, LLC와 4년간의 고정 담보 회전 신용 시설에 진입했습니다.

DDC, 한 주에 비트코인을 두 번 구매하며 자산을 14% 증가시켜 희석 없이 재무를 성장시킵니다. 1

비트코인으로 DDC 자산 14% 증가

  • No Comments

DDC Enterprise Limited (NYSE American: DDC)는 수요일에 131 비트코인을 구매하여 기업 비트코인 금고를 2,714 BTC로 확장했다고 발표했습니다. 뉴욕에 본사를 둔