Home > 전체기사
GDPR 준수 도와준다는 사이트에서 민감 정보 노출시켜
  |  입력 : 2020-04-28 17:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
공식 사이트는 아니지만, 유럽연합의 일부 지원으로 개설된 GDPR 안내 사이트
.git 폴더 설정 잘못해 각종 민감 정보 인터넷에 고스란히 노출시켜


[보안뉴스 문가용 기자] 유럽의 프라이버시 보호 규정인 GDPR의 준수와 관련된 정보를 제공하고 조언까지 해주는 GDPR 컴플라이언스 웹사이트인 GDPR.EU에서 정보 노출 사고가 발생했다. MySQL 데이터베이스의 설정 오류로 여러 가지 민감한 정보가 누구에게나 고스란히 노출되어 있었다고 한다.

[이미지 = iclickart]


GDPR.EU는 규정 준수 때문에 애를 먹고 있는 조직들을 돕기 위해 개설됐으며 프로톤 테크놀로지스 AG(Proton Technologies AG)라는 곳에서 운영하고 있다. 프로톤은 종단간 암호화를 제공하는 이메일 서비스인 프로톤메일(ProtonMail)을 제공하는 회사이기도 하다. GDPR.EU는 유럽연합에서 공식적으로 운영하는 사이트는 아니지만, EU 산하의 호라이즌 2020 프레임워크 프로그램(Horizon 2020 Framework Programme)이 사이트 제작에 일부 참여한 바 있다.

이번에 발견된 문제 자체는 그리 큰 건 아니었다. 보안 업체 펜 테스트 파트너즈(Pen Test Partners)는 자사 블로그를 통해 “간단히 찾아냈고 쉽게 해결된 문제”라고 표현하기도 했다. 다만 “GDPR이라는 프라이버시 보호 규정을 보다 쉽게 준수하기 위해 만들어진 사이트에서, 프라이버시 침해로 이어질 수 있는 사고가 발생했다는 아이러니가 충격적”이라고 한다.

문제의 근원은 GDPR.EU이라는 사이트의 .git 폴더였다. 이 폴더가 인터넷에 연결된 사용자라면 누구나 열람할 수 있도록 설정돼 있던 것이었다. 요 몇 년 지겹도록 발생한 클라우드 혹은 데이터베이스 설정 오류로 인한 정보 유출과 동일한 맥락에 있는 사건인 것이다.

문제가 되는 깃(Git)은 웹 개발자들 사이에서 인기가 높은 오픈소스 개발 도구로, 페이지 구축에 주로 활용된다. 깃은 파일 변경 이력을 전부 기록하며, 이 내용은 정보 리포지터리 폴더에 저장된다. 이 폴더가 제대로 설정되지 않는다면, 폴더 안에 저장된 모든 파일이 완전 공개 상태가 되어버린다. 심지어 구글 검색엔진에 인덱싱 되기도 한다. 이런 깃 폴더에 접근하는 데 성공하면 소스코드, 서버 접근 키, 데이터베이스 비밀번호, 호스팅 된 파일, 암호화 설트 등 민감한 정보를 열람할 수 있다.

펜 테스트 파트너즈의 전문가들은 간단한 닷깃(DotGit) 브라우저 플러그인을 통해 문제를 발견했으며, 추적을 통해 GDPR.EU 웹사이트와 관련이 있는 워드프레스 페이지들 몇 개도 열람할 수 있었다. 여기에는 핵심 워드프레스 파일이라고 할 수 있는 wp-config도 포함되어 있었다. 이를 통해 오픈소스 MySQL 데이터베이스 관리 설정 내용을 열람할 수 있었다고 한다.

블로그를 통해 펜 테스트 파트너즈의 전문가들은 “노출된 건 외부로 공개되면 안 되는 내부 시스템들이었다”며 “누군가 이를 열람했다면 상당히 심각한 것”이라고 강조했다. 예를 들어, 인증 키와 암호화 설트와 같은 정보를 누군가 가져가는 데 성공했을 경우, 관리자 쿠키를 조작하는 데 활용될 수 있고, 실제 이런 방법으로 사이트 변조 공격이 발생한 사례도 있었다.

다행히 프로톤 측에서 대응을 꽤나 빨리 해주었다고 한다. 신고가 들어가고서 4일 만에 문제를 해결한 것이었다.

펜 테스트 파트너즈의 전문가들은 깃 디렉토리를 사이트에서 아예 제거하는 편이 웹사이트 보안에 도움이 된다고 조언한다. “공개된 모든 사이트들에서 /.git/ 디렉토리를 삭제하는 편이 훨씬 안전합니다. 이 디렉토리 안에는 너무 민감한 정보가 들어 있기 때문입니다. 이번 GDPR.EU 사건처럼 괜히 위험 요소를 안고 있을 필요가 없습니다.”

.git 폴더를 잘못 관리해 데이터가 노출된 건 이번이 처음이 아니다. 2018년 2억 3천만 개의 웹 도메인을 스캔한 결과 39만 개가 넘는 웹 페이지들에서 ‘노출된 .git 폴더’ 취약점이 발견되기도 했었다.

3줄 요약
1. GDPR 준수를 도와준다는 사이트, 설정 오류로 스스로 민감 정보 노출.
2. 문제의 근원은 원래 민감 정보 잔뜩 저장해 둔 .git 디렉토리.
3. 웹사이트 운영할 때 .git 디렉토리는 아예 삭제하는 편이 가장 안전.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상