<aside> 💡 본 페이지는 LAPSUS$ 이슈와 관련하여 OKTA의 공식적인 대응방안 및 입장이 아님을 안내 드립니다.
</aside>
본 페이지에 작성된 검토 내용은 다온기술에서 자체적으로 확인한 정보를 기반으로 자사 org에서 검토 및 조치할 수 있는 방법을 제시하기 위하여 작성되었습니다. 자사 Okta org에서 자체적으로 처리할 수 있는 최소한의 대응 방안을 제시한 부분으로 내부적인 보안 강화를 도모하실 것을 다시 한번 권장드립니다. 이외 침해사고 및 조사관련 사항이 필요하신 경우 글로벌 침해사고 조사 및 위협 인텔리전스 서비스를 제공하는 Mandiant의 파트너인 다온기술에 별도로 문의하여 주시기 바랍니다.
Mandiant Threat Intelligence Freemium 시작하기
Okta에서 제공한 정보에 따르면 탈취된 계정은 고객 지원 엔지니어의 계정으로 확인됩니다. 일반적으로 Okta Support계정에서는 자사 Org에서 Okta Support의 접근을 먼저 허용해주지 않으면 접근할 수 없으므로 이에 대한 현황 확인을 진행하고자 합니다.
특정 Case처리로 인하여 Support 접근을 허용하신 경우도 존재하실 수 있으므로, 해당 액세스가 허용되었다 하더라도 침해사고가 발생한 것으로 간주할 수 없음을 강조드립니다. 다만, 별도의 Okta 지원이 필요하신 상황이 아니시라면 비활성화(Disable)해두시는 것을 권장드립니다.
현재 비활성화 되어 있다 하더라도 만일의 가능성을 대비하여 최근 3개월간 인지하지 못한 Okta Support 액세스 활성화 이력이 있는지 검토를 권장드립니다. 인지하지 못한 활성화 이력이 확인되실 경우, 이를 활성화한 관리자 계정의 소유자와 확인을 권장드립니다.
상기 명시된 검색 조건 이외 LAPSUS$ 클라이언트IP로 공개되었던 IP로부터의 접근 이력이 있었는지 검토를 권장드립니다.