# 스노우플레이크 데이터 유출: 해커, 인포스틸러 감염을 통한 접근 확인

> Clean Markdown view of GeekNews topic #15111. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=15111](https://news.hada.io/topic?id=15111)
- GeekNews Markdown: [https://news.hada.io/topic/15111.md](https://news.hada.io/topic/15111.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-06-01T09:48:47+09:00
- Updated: 2024-06-01T09:48:47+09:00
- Original source: [hudsonrock.com](https://www.hudsonrock.com/blog/snowflake-massive-breach-access-through-infostealer-infection)
- Points: 1
- Comments: 1

## Topic Body

- 2024년 5월 31일, 클라우드 기업 스노우플레이크가 대규모 데이터 유출을 겪음  
- 해커는 인포스틸러 감염을 통해 접근했다고 허드슨 록에 확인해줌  
- 해커는 티켓마스터와 산탄데르 은행을 포함한 여러 주요 회사의 데이터를 러시아어 사이버 범죄 포럼에 판매함  
  
#### 해킹 방법  
- 해커는 스노우플레이크 직원의 ServiceNow 계정에 도용된 자격 증명을 사용해 로그인함.  
- OKTA를 우회하여 세션 토큰을 생성하고 대량의 데이터를 유출함.  
- 해커는 약 400개의 회사가 영향을 받았다고 주장함.  
  
#### 추가 증거  
- 해커는 허드슨 록 연구원들에게 스노우플레이크 서버에 대한 접근 권한을 보여주는 CSV 파일을 공유함.  
- 이 파일은 스노우플레이크의 유럽 서버와 관련된 2,000개 이상의 고객 인스턴스를 문서화함.  
  
#### 해커의 목표  
- 해커는 스노우플레이크에게 2천만 달러를 요구하며 데이터를 되찾으려 함.  
- 회사는 이에 응답하지 않음.  
  
#### 인포스틸러 감염의 증가  
- 인포스틸러 감염은 2018년 이후 6000% 증가하여 주요 초기 공격 벡터로 자리잡음.  
- 이는 랜섬웨어, 데이터 유출, 계정 탈취, 기업 스파이 활동 등을 포함한 사이버 공격을 실행하는 데 사용됨.  
  
### GN⁺의 의견  
- **사이버 보안의 중요성**: 이번 사건은 기업이 사이버 보안에 더욱 신경 써야 함을 보여줌. 특히 직원들의 자격 증명 관리가 중요함.  
- **인포스틸러의 위협**: 인포스틸러는 매우 빠르게 확산되고 있으며, 기업은 이에 대한 대비책을 마련해야 함.  
- **대응 전략**: 해킹 사건 발생 시 신속한 대응과 피해 최소화 전략이 필요함. 스노우플레이크의 대응이 늦어 피해가 커짐.  
- **보안 교육**: 직원들에게 보안 교육을 강화하여 자격 증명 관리와 피싱 공격에 대한 인식을 높이는 것이 중요함.  
- **대체 솔루션**: 스노우플레이크와 유사한 기능을 제공하는 다른 클라우드 저장소 솔루션을 고려해 볼 수 있음. 예를 들어, AWS S3나 Google Cloud Storage 등이 있음.

## Comments



### Comment 25791

- Author: neo
- Created: 2024-06-01T09:48:47+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=40534868)   
- Snowflake와 협력하는 과정에서 SE(솔루션 엔지니어)가 데모 환경을 설정하고 클라이언트 데이터를 사용함. 클라이언트가 ID 만료를 관리하지 않아 발생한 문제로 보임.  
- 기사 제목과 내용이 일치하지 않음. 고객 데이터 노출과 관련 없는 문제로 보이며, 실제로 손상된 고객 수는 적음.  
- [Snowflake의 Felipe가 문제에 대한 최신 정보를 공유](https://community.snowflake.com/s/question/0D5VI00000Emyl00AB/detecting-and-preventing-unauthorized-user-access)함. 링크를 통해 업데이트된 내용을 확인할 수 있음.  
- 채팅 로그 스크린샷이 인상적임. 범죄자가 이 회사와 소통 중이며, 회사의 도움으로 침해를 막을 수 있었다고 주장함.  
- Snowflake 시스템이 단일 관리자 계정으로 모든 접근을 허용하는 방식으로 설계된 것 같음. 이는 Ticketmaster와 Santander 사건의 신뢰성을 높임.  
- Snowflake는 고객의 잘못으로 문제 발생했다고 주장함. 연구 결과, Snowflake 제품의 취약점이나 잘못된 구성 때문이 아님을 강조함.  
- 공식 Snowflake 응답에 따르면, 이번 사건은 고객의 사용자 자격 증명이 노출된 것과 관련이 있음. Snowflake 제품 자체의 문제는 아님.  
- Ticketmaster 침해 사건이 Snowflake 직원의 자격 증명 도용으로 인해 400개 이상의 회사에 영향을 미쳤다는 주장. Hudson Rock의 신뢰성에 대한 의문 제기.  
- 위협 행위자가 Snowflake 직원의 ServiceNow 계정을 도용해 OKTA를 우회했다고 설명함. ServiceNow의 역할과 중요성에 대한 설명 요청.  
- Snowflake 직원의 자격 증명을 도용해 고객 데이터를 접근할 수 있다는 점에 의문 제기. Snowflake의 데이터 보안에 대한 기대가 높음.