데이터베이스를 인터넷에 잘못 연결하면 어떤 일 벌어지나

입력 : 2020-06-11 13:09

허니팟 이용한 실험...인터넷에 노출시키고 8시간도 지나지 않아 최초 공격
쇼단 검색 엔진에 등록되고 나서 1분도 지나지 않아 2건의 공격 발생하기도

[보안뉴스 문가용 기자] 설정 오류를 가지고 있는 데이터베이스는 순식간에 공략 당한다는 내용의 보고서가 나왔다. 보안 업체 콤패리테크(Comparitech)에서 조사해 발간한 것으로, “실수로 인한 클라우드 보안 사고가 얼마나 심각하고, 또 얼마나 자주 일어나는지” 구체적으로 알아보기 위해 연구를 시작했다고 한다.


클라우드 설정 오류는 최근 몇 년 동안 발생한 가장 흔한 보안 사고 유형 중 하나다. 아무런 보안 설정도 없이 민감한 데이터를 인터넷에 노출시켜 놓는 일이 허다하고, 이를 통해 새나가는 정보가 해킹 공격을 통해 유출되는 것보다 많은 수준이다. 이 때문에 크리덴셜 정보가 다크웹에서 풍부하게 거래되고 있고, 크리덴셜 스터핑 공격이 아직까지 유행하고 있다.

콤패리테크의 보안 전문가 밥 디아첸코(Bob Diachenko)는 “최근 공공 인터넷에 연결된 엘라스틱서치(Elasticsearch) 인스턴스가 크게 증가했고, 이 때문에 조사를 시작했다”고 밝혔다. 그래서 콤패리테크에서는 하니팟을 하나 설정해 데이터베이스인 것처럼 꾸몄다. 그리고 인터넷에 그대로 공개했다. 하니팟 내에는 가짜 사용자 데이터가 저장되어 있었다. 총 기록 보유량은 219건이었고, 이는 수 메가바이트 정도의 용량을 차지했다.

이 허니팟을 인터넷에 노출시킨 것이 5월 11일의 일이었다. 5월 22일까지 인터넷에 노출된 상태로 유지됐다. 그 동안 하니팟에 접수된 비승인 요청은 175건이었다. 이를 콤패리테크 측에서는 ‘공격’이라고 간주했다. 첫 번째 공격은 5월 12일에 발생했는데, 하니팟 설정 후 8시간 반이 지난 시점이었다고 한다.

오프라인으로 바뀐 5월 22일부터 공격이 크게 증가했다. 6월 5일까지 이어졌다. 디아첸코에 다르면 이 기간 동안 435건의 공격이 발생했다고 한다. 하루 평균 29번의 공격이 있었던 것이다. 5월 27일부터는 공격이 심각하게 증가했다. 5월 30일 하루에 68번의 공격이 들어온 것이 최대치였다. 주로 “지불, 이메일, 모바일, 지메일, 비밀번호, 지갑, 접근 토큰 등을 찾는 행위들”인 것으로 분석됐다.

공격자들은 취약한 데이터베이스를 어떻게 찾는 것일까? 주로 쇼단(Shodan)이나 바이너리에지(BinaryEdge) 등의 검색 엔진을 사용한다고 콤패리테크의 폴 비쇼프(Paul Bischoff)는 설명한다. 위의 허니팟이 쇼단 검색 결과에 등록된 것은 5월 16일의 일인데, “등록되고서 1분도 지나지 않아 2건의 공격이 발생했다”고 한다.

그러나 검색 엔진에 등록되기 전에도 이미 30~40번 사이의 공격이 발생했었다. 즉, 수많은 공격자들이 자신들만의 검색 능력을 보유하고 있다는 것을 뜻한다. 물론 ‘비승인 요청’이 보안 전문가로부터 온 것일 수도 있지만, 공격자들의 것이 대부분일 것이라고 콤패이테크는 설명한다.

허니팟으로 들어온 비승인 요청들 중 대부분은 데이터베이스의 상태와 설정에 관한 정보에 관한 것이었다. 147개는 GET 요청이었고, 24개는 POST 요청이었다. 이런 요청들의 대부분은 중국에서부터 왔다. 그 외에 서버를 하이재킹 하려는 시도도 있었다. 아마도 데이터베이스 서버를 악의적인 목적으로 활용하기 위한 것으로 보인다고 콤패리테크는 분석했다.

CVE-2015-1427을 노린 공격이 꽤나 인기가 있었던 것으로 나타났다. 이는 엘라스틱서치 서버들에서 발견된 원격 코드 실행 취약점이다. 이 취약점을 공략하는 자들의 주요 목적은 암호화폐를 채굴하는 것 혹은 서버에 저장된 비밀번호를 캐내는 것이었다. 한 공격자는 이 취약점을 통해 서버 환경설정 내용을 전부 변경하고자 했다.

IP 주소를 기반으로 요청의 발원지를 조사했을 때, 다음과 같은 결과가 나왔다.
1) 프랑스 : 191건
2) 미국 : 134건
3) 중국 : 230건

디아첸코는 “이 실험을 통해 데이터베이스 설정 오류라는 것이 공격자들에게 어떤 의미를 갖고 있는지 알게 됐다”며 “단순 실수로 치부하기에는 너무나 위험한 상황이 펼쳐진다”고 강조했다. “잘못 설정된 데이터베이스는 공격자들이 항시 노리는 것입니다. 거의 항상 이런 부분을 검색하고 있다고 보면 됩니다. 데이터베이스가 인터넷에 노출되자마자 공격이 들어온다는 것을 이번 실험을 통해 확인할 수 있었습니다.”

3줄 요약
1. 데이터베이스 일부러 잘못 설정해보니 해커들이 벌 떼처럼 달려 듦.
2. 인터넷에 노출시켰을 때, 최초 공격 들어오는 데에 몇 시간 걸리지도 않음.
3. 중국, 프랑스, 미국에서 가장 많은 공격이 들어옴.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 2

  지정학적 위기가 고조되는 가운데 CISO가 ...

• 3

  중소기업 주목! 네트워크 장비 보안 점검 방...

• 4

  [이슈인터뷰] KAIST 최양규 교수 “세계...

• 5

  [이슈인터뷰] 과기정통부 심주섭 과장 “상반...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...