Pcmag 웹사이트에 따르면 해커가 인공 지능을 사용하여 직원의 목소리를 심하게 위조하여 IT 회사 Retool을 해킹하여 27명의 클라우드 고객이 사이버 보안 사고에 연루된 것으로 밝혀졌습니다.
해커들은 처음에 Retool의 IT 팀이라고 주장하며 직원들이 건강 보험에 가입할 수 없는 급여 문제를 해결해 줄 수 있다는 내용의 피싱 문자 메시지를 여러 Retool 직원에게 보냈습니다. 사이버 공격을 촉발한 한 명의 직원을 제외한 대부분의 Retool 직원은 피싱 메시지에 응답하지 않았습니다.
리툴이 공유한 정보에 따르면, 의심하지 않은 직원은 문자 메시지에 포함된 URL을 클릭해 가짜 인터넷 포털로 연결되었습니다. 다단계 인증 양식이 포함된 포털에 로그인한 후 사이버 공격자는 AI 기반 딥 위조 기술을 사용해 사무실 평면도와 내부 프로세스에 익숙한 리툴 직원의 실제 목소리인 '목소리'로 해당 직원에게 전화를 걸었습니다. '목소리'의 소유자는 사무실 평면도, 동료, 회사 내부 프로세스에 대해 잘 알고 있었습니다.
한 가지 주목할 점은 피해 직원이 대화 도중 여러 차례 통화에 대해 회의적인 반응을 보였지만, 안타깝게도 결국 공격자에게 추가 멀티팩터 인증(MFA) 코드를 제공했다는 점입니다.
사이버 공격자가 피해 직원에게 전화를 걸기 전에 이미 어느 정도 리툴에 침투한 것으로 보입니다. 멀티팩터 코드를 포기하면 사이버 공격자는 직원의 계정에 자신의 디바이스를 추가하고 직원의 GSuite 계정에 액세스하기 위해 이동합니다.
레툴은 최근 구글 인증 앱에 클라우드 동기화 기능이 도입되어 휴대폰을 분실하거나 도난당한 경우 다단계 인증 코드에 쉽게 액세스할 수 있지만, 사용자의 구글 계정이 유출되면 MFA 코드도 함께 유출될 수 있다고 지적합니다.
Retool은 또한 Google 계정에 액세스하면 해당 계정의 모든 MFA 토큰에 즉시 액세스할 수 있으며, 이것이 사이버 공격자가 내부 시스템에 액세스할 수 있는 주된 이유라고 지적합니다. 소셜 엔지니어링은 매우 현실적이고 신뢰할 수 있는 사이버 공격의 수단이며 모든 조직이나 개인이 표적이 될 수 있으며, 물리적 조직이 충분히 큰 경우 자신도 모르게 링크를 클릭해 피싱을 당하는 직원이 있을 수 있습니다.
마지막으로 리툴은 현재 사이버 공격자의 접근을 차단했지만, 다른 기업들에게 유사한 공격에 대해 경고하기 위해 보안 사고를 공개하기로 결정했습니다.