기술 지원
문서
로그인
문의하기
사이버 보안 강화
조아오 코레이아
2023년 1월 25일 - 기술 에반젤리스트
작년에 방영되기 시작한 가상의 TV 쇼에서 한 스파이가 대중 열차에서 기밀 정보 서류를 잊어버려 실각하는 장면이 나왔습니다. 그 서류에는 해외에서 잠복 근무 중인 스파이들의 명단이 포함되어 있었고 매우 중요한 내용이었습니다.
지난주 '현실이 TV를 모방하는' 순간, 미국 항공 회사인 CommuteAir의 부적절한 보안 서버가 '비행 금지 목록'이 포함된 문서를 남겨 동기 부여를 받은 해커가 접근할 수 있게 했습니다.
비행 금지 목록
가끔은 믿을 수 없는 이야기도 있습니다. 비행 금지 명단은 미국 내 상업용 항공기 탑승이 금지된 개인의 목록으로, 국가 안보에 심각한 영향을 미칠 수 있습니다. 데이터에 포함된 항목에 대해 자세히 설명하거나 그러한 목록이 얼마나 정당한지 또는 얼마나 유용한지에 대해 논의하지는 않겠습니다. 이 이야기의 이러한 측면에 관심이 있으시다면, 데일리 닷의 원본 글에서 자세히 다루고 있으며 매우 흥미로운 읽을거리가 될 것입니다.
적어도 150만 개가 넘는 항목이 포함된 목록이 접근 가능한 위치에 (의도치 않게) 남겨져 있었다는 사실을 인정하는 것은 수치스러운 일입니다.
사이버 보안, 하지만 아주 조금만
데일리 닷의 최초 보도에 따르면, 항공사 측은 파일이 노출된 서버가 "테스트 목적으로 사용되는 개발 서버"라고 밝혔습니다(데일리 닷 기사 인용). 이 발언에는 다른 시스템과 비교했을 때 이 서버가 얼마나 덜 중요하게 고려되었는지가 암시되어 있습니다.
또한 2019년 버전의 비행 금지 목록에서 나온 데이터이긴 하지만 실제 데이터임을 확인했습니다.
기존 규정에 따라, 그리고 사건의 심각성과 잠재적인 보안 파급 효과를 고려하여 미국 교통안전국(TSA), 연방수사국(FBI), 국토안보부(CISA) 등 연방 차원의 당국이 개입했습니다.
해커에 의해 발견되었다는 이 발견의 경위를 살펴보면, 소프트웨어 개발의 빌드 및 테스트 프로세스를 자동화하는 소프트웨어 패키지인 젠킨스 서버에 대한 쇼단 검색에서 발견되었으며, 안타깝게도 일반적인 사이버 보안 사고 사례에서 익숙한 이름입니다. 이름이 익숙하지 않은 분들을 위해 설명하자면, 쇼단은 인터넷 서비스를 구글처럼 검색할 수 있는 공공 서비스입니다. 예를 들어, 인터넷에서 접속 가능한 모든 이메일 서버를 찾거나 공용 IP 주소로 보호되지 않은 원격 데스크톱 실행 시스템을 모두 찾도록 요청할 수 있습니다. 위협 행위자와 스크립트 작성자 모두에게 쇼단 사용법을 배우는 것은 "해킹 101"에 해당합니다.
이제 IT의 일부 서비스는 명확하게 정의된 '공용' 액세스와 '비공개 전용' 액세스로 적절하게 분류하기가 다소 어렵습니다. 예를 들어 조직 외부에서 인터넷에 액세스할 수 있어야 하는 서비스와 경계 네트워크 내부에서만 연결할 수 있고 외부와 직접 접촉해서는 안 되는 서비스를 의미합니다.
그러나 Jenkins는 논쟁의 여지가 없는 서비스 중 하나입니다. 개발자에게만 유용한 인프라 전용 서비스이며, 따라서 Shodan 쿼리로 연결할 수 없어야 합니다. 매우 완벽하지만, Shodan은 서버가 노출되지 않으면 서버를 찾을 수 없는 마법의 도구는 아닙니다.
하지만 Jenkins가 실행되는 서버를 찾는 것은 첫 번째 단계에 불과했습니다. 파일이 있는 Jenkins 내부에 어떤 형태로든 보호되지 않거나 인증되지 않은 공유가 있어야 했습니다. Jenkins 프로젝트는 배포를 보호하기 위한 지침을 제공합니다. 거기에서 제공된 몇 가지 조언을 따르지 않은 것 같습니다.
그렇다면 무엇을 다르게 했어야 했을까요?
우선, 실제 데이터를 이런 식으로 사용하거나 남용해서는 안 됩니다. 소프트웨어가 제대로 처리할 수 있는지 확인하기 위해 테스트 시스템에 실제 목록이 꼭 필요한 것은 아닙니다. 바로 이런 목적으로 실제와 똑같은 '가짜' 데이터를 생성하는 '데이터 모킹'과 같은 관행이 존재하는 이유입니다.
다음으로, 보호되지 않은 액세스 포인트, 공유, 노출된 항목이 없는 Jenkins 모범 사례를 따랐어야 합니다.
그렇다면 인프라 서버는 애초에 외부 액세스가 허용되지 않아야 합니다. 적절한 실행을 위해 외부 접속이 필요하지 않으며, 어떤 유형의 외부 통합을 테스트하기 위해 실제 외부 접속이 필요한 경우 ipsec 터널을 사용해야 합니다.
하지만 문제의 핵심은 사이버 보안과 관련하여 IT 팀이 이러한 "보조" 시스템에 대해 여전히 다른 시각을 가지고 있다는 것입니다. 최전선 시스템, 핵심 시스템, 중요 시스템은 모든 주목을 받지만, 이 사례에서와 같이 인쇄 서버, 내부 파일 공유 서버 등과 같은 인프라 시스템은 누군가 문제에 대해 불만을 제기할 때 가끔씩 한 눈에 볼 수 있습니다.
(젠킨스 박스 한 대를 제외한 모든 서버는 보안이 유지됩니다.
https://knowyourmeme.com/memes/medieval-knight-with-arrow-in-eye-slot)
이렇게 서로 다른 관심은 철옹성 같은 갑옷에 흠집을 내며, 작은 구멍 하나만 생겨도 성 전체가 무너질 수 있습니다.
모든 것, 모든 곳, IT 버전
중요한 비즈니스 데이터가 모든 서버에 있는 것처럼 항상 모든 서버를 보호하고, 모니터링하고, 패치를 적용하세요. 이것이 최신 보안 태세를 위한 만트라이자 유일한 만트라가 되어야 합니다. 가능한 한 많이 자동화하되, 어떤 시스템도 간과해서는 안 됩니다. 보안과 관련해서는 모든 시스템이 똑같이 중요합니다.
위협 공격자는 데이터베이스 서버에 직접 침입할 수 없다면 크게 신경 쓰지 않습니다. 가상화 호스트에 먼저 침투할 수만 있다면 중요한 데이터에 빠르게 접근할 수 있기 때문입니다.
상으로 가는 실제 경로는 의미가 없습니다. 오직 보상만이 중요합니다. 이러한 모든 경로를 차단하고 적절하게 보호하는 것은 블루팀의 몫입니다.
이미지 출처: https://i.kym-cdn.com/entries/icons/original/000/035/146/knight.jpg
https://knowyourmeme.com/memes/medieval-knight-with-arrow-in-eye-slot
