ClickCease PostgreSQL 데이터베이스 및 크립토재킹 취약점 |tuxcare.com

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

PostgreSQL 데이터베이스: 나에게는 블랙홀, 다른 누군가에게는 노다지

2021 년 5 월 11 일 TuxCare 홍보팀

사이버 공격은 규모와 형태가 다양합니다. 공격자의 명백한 의도는 업무를 방해하거나 귀중한 것을 훔치는 것입니다. 때로는 공격자가 조직에 해를 끼칠 의도가 전혀 없는 목적을 달성하려고 할 수도 있습니다.

멀웨어가 컴퓨팅 인프라에 잠복하여 즉각적인 피해를 입히지 않고 조용히 작업을 수행하는 경우도 있지만, 여전히 리소스를 소모하여 블랙홀과 같은 역할을 합니다. 이러한 유형의 멀웨어는 막대한 비용을 초래할 뿐만 아니라 평판에도 심각한 손상을 입힐 수 있습니다.

이 글에서는 사용자가 전혀 눈치채지 못할 수도 있지만, 어쨌든 대가를 치르게 되는 교묘한 멀웨어가 포함된 크립토재킹에 대해 다룰 것입니다. 더 심각한 문제는 이 멀웨어가 가장 가능성이 낮은 위치 중 하나인 SQL 데이터베이스에 숨어 있다는 것입니다.

 

 

크립토재킹 101

 

먼저 크립토재킹이 무엇이며 공격자들이 크립토재킹 기법을 사용하는 이유를 살펴보겠습니다. 간단한 답이 있습니다: 바로 돈입니다. 암호화폐 채굴은 큰 돈을 의미할 수 있지만, 크립토마이닝의 경우 사실관계가 달라졌습니다.

얼마 전까지만 해도 인터넷에 연결된 일반 컴퓨터만 있으면 집에서도 쉽게 대량의 암호화폐를 채굴할 수 있었습니다. 하지만 시간이 지날수록 코인을 채굴하기가 더 어려워지는 방식으로 많은 인기 암호화폐 알고리즘이 설계되었기 때문에 수년에 걸쳐 상황이 바뀌었습니다.

그 결과 오늘날 코인 채굴은 계산적으로 매우 까다롭습니다. 채굴자는 암호화폐를 채굴하기 위해 많은 리소스가 필요하며, 리소스는 공짜가 아닙니다. 이는 수익에 타격을 주며, 많은 경우 자원을 무료로 얻을 수 없는 경우, 즉 도난을 당하지 않는 한 채굴을 수익성 있게 수행할 수 없음을 의미합니다.

크립토재킹은 암호화폐 채굴을 목적으로 리소스를 훔치는 행위입니다. 해커가 서버를 크립토재킹하는 목적은 사용자가 지불한 리소스를 활용하여 사용자의 허락 없이 암호화폐를 채굴하는 데 사용하는 것이며, 물론 사용자의 장비를 사용하여 채굴한 암호화폐는 사용자에게 전혀 제공하지 않습니다.

크립토재커는 가능한 한 오랫동안 숨어 있으려는 동기를 가지고 있으며, 당연히 사용자가 찾을 가능성이 가장 낮은 곳에 크립토재킹 코드를 삽입하려고 시도합니다.

 

 

 

크립토재킹으로 인해 비용이 발생하는 이유

 

다음으로 크립토재킹으로 인해 발생하는 문제와 조직이 위험에 주의를 기울여야 하는 이유를 살펴보겠습니다. 해커가 시스템에 크립토마이닝 소프트웨어를 설치하는 것은 운영을 직접적으로 방해하거나 데이터를 훔치기 위한 것이 아니지만, 컴퓨팅 리소스를 소모하는 것은 매우 큰 비용이 될 수 있습니다. 다른 결과도 있습니다. 여기에 몇 가지 영향을 나열해 보았습니다:

  • 비용 증가. 앞서 크립토마이닝은 매우 리소스 집약적이라고 설명드렸습니다. 대부분의 조직은 기술 리소스를 신중하게 계획하며, 필요한 것 이상을 구매하지 않고 지출하는 모든 비용에서 최대한의 가치를 활용합니다. 크립토재킹은 이러한 균형을 깨뜨려 워크로드에 갑자기 장애가 발생하여 예기치 않은 중단을 초래할 수 있습니다. 사용량에 따라 요금이 청구되는 경우 요금이 크게 증가할 수 있습니다.

 

  • 물리적 손상. 워크로드는 하드웨어의 물리적 및 환경적 한계 내에서 실행되도록 설계되었지만, 크립토재커는 불법적으로 설치된 크립토마이닝 소프트웨어를 통해 하드웨어를 악용할 때 전혀 우려하지 않을 것입니다. CPU와 같은 구성 요소가 제조업체 및 환경 한계를 초과하여 실행되므로 물리적 하드웨어 장애로 이어질 수 있습니다.

 

  • 규정준수 및 법적 문제. 조직이 서버에서 개인 또는 기타 기밀 데이터를 처리하는 경우, 승인되지 않은 크립토마이닝 소프트웨어가 있으면 크립토마이닝 소프트웨어가 이 데이터에 액세스할 수 있으므로 규정 준수 규정을 위반할 수 있습니다. 이는 심각한 법적 문제로 이어질 수 있습니다.

 

  • 크립토마이너는 보안 문제가 될 수 있습니다. 크립토재킹은 리소스 남용으로 시작될 수 있지만 해커는 다른 목적을 달성하기 위해 소프트웨어의 용도를 변경할 수 있습니다. 이는 서비스를 중단시키거나 데이터를 훔치는 것일 수 있습니다. 즉, 리소스 낭비가 심각한 사이버 공격으로 빠르게 변할 수 있습니다.

보시다시피, 크립토재킹에는 리소스 사용 증가로 인한 일상적인 비용뿐만 아니라 크립토마이닝 소프트웨어가 기술 솔루션을 블랙홀로 만들 수 있기 때문에 예상치 못한 큰 비용이 발생할 위험도 존재합니다.

 

 

 

PostgreSQL 이해

 

크립토재커는 소프트웨어를 어딘가에 숨겨야 하는데, 다음 섹션에서 설명하겠지만 PostgreSQL 데이터베이스가 숨기기에 좋은 장소라는 것이 밝혀졌습니다. 그렇다면 PostgreSQL이란 무엇이며, 워크로드에 사용하기도 하나요?

오늘날의 기술 솔루션은 매우 복잡하고 계층화되어 있으며 통합되어 있으며, 일반적인 기술 스택은 여러 구성 요소에 따라 달라지며, 그 중 일부는 사용자가 인지하지 못할 수도 있습니다. 이러한 구성 요소는 백그라운드에서 작동하여 애플리케이션을 지원합니다.

대부분의 애플리케이션은 MySQL 및 실제로 PostgreSQL을 포함한 일종의 데이터베이스를 사용합니다. 이러한 데이터베이스는 데이터베이스 관리 시스템(DBMS)이며, PostgreSQL은 1997년에 처음 출시된 더 강력한 옵션 중 하나입니다. PostgreSQL은 운영 비용이 저렴하고 구현하기 쉽기 때문에 매우 인기가 있습니다.

또한 PostgreSQL은 엔터프라이즈 애플리케이션에 매우 적합한 중요한 기능을 제공하므로 Stack Overflow 설문 조사에서 다음과 같은 결과가 나온 것으로 보입니다. PostgreSQL은 MySQL에 이어 두 번째로 인기 있는 데이터베이스 솔루션입니다.인 것으로 나타났습니다.

수백만 개의 애플리케이션과 솔루션이 PostgreSQL에 의존하고 있다고 가정하는 것이 합리적이며, 단순히 개발자가 DBMS로 PostgreSQL을 선택했기 때문에 백그라운드에서 그렇게 하는 경우가 많습니다.

 

 

 

크립토재킹을 가능하게 하는 PostgreSQL 취약점

 

크립토재킹 시도에 대해 걱정해야 하는 이유에 대해 설명해 드렸는데, 이제 해커가 어떻게 크립토마이닝 소프트웨어를 PostgreSQL 데이터베이스에 침투할 수 있는지 살펴 보겠습니다.

2020년 12월, 한 연구팀이 크립토마이닝 코드를 삽입하는 해커의 첫 번째 사례를 발견했습니다.. 연구팀은 이 소프트웨어를 PGMiner라고 불렀는데, 이는 당연히 PostgreSQL과 마이닝을 지칭합니다. 즉, 이 소프트웨어는 PostgreSQL에 설치되어 암호화폐를 채굴하는 데 사용되는 코드입니다.

코드 는 특정 취약점에 따라 달라집니다.의 특정 취약점(원격 코드 실행 취약점)에 따라 달라지는데, 해커가 사용자가 실행 중인 PostgreSQL 애플리케이션을 사용하여 시스템에 크립토마이닝 코드를 삽입할 수 있습니다. 사용자는 유닛 42 팀의 심층 분석을 읽어보세요.에서 심층 분석을 읽어보실 수 있으며, 여기에서 PGMiner가 사용한 방법론에 대해 설명합니다.

흥미롭게도 이 크립토재킹 방법과 관련된 '취약점'은 사실 PostgreSQL의 기능이라고 주장할 수 있습니다. PostgreSQL 글로벌 개발 그룹은 이 취약점과 관련된 프로그램에서 프로그램 복사 기능이 실제로 의도한 대로 작동한다고 말합니다. 그럼에도 불구하고 이 기능은 크립토재킹에 적극적으로 악용되고 있습니다.

 

 

 

그리고 여기 또 하나 있습니다...

 

해커가 PostgreSQL 데이터베이스에 침입하는 방법은 한 가지가 아닙니다. 크립토재킹 위험이 얼마나 교묘한지 설명하기 위해 다른 예를 살펴봅시다.

이 글에서는 보안 공급업체 Imperva가 스칼렛 요한슨의 이미지를 사용하여 해커가 어떻게 크립토마이닝 코드를 PostgreSQL 인스턴스에 주입하는지 설명합니다. 이상하게 들리겠지만, 기본적으로 공격자는 이미지 파일에 악성 코드를 추가함으로써 원격 코드 실행을 통해 PostgreSQL 인스턴스에 자신의 코드를 삽입할 수 있습니다.

이 이미지는 공개 이미지 호스팅 서비스에서 호스팅되며 인기 배우의 이미지처럼 보이지만 이 무고한 이미지에는 실제 페이로드가 포함되어 있기 때문에 실제 위험이 숨겨져 있습니다. 이 기사의 작성자에 따르면 많은 바이러스 백신 애플리케이션이 이미지 파일의 페이로드를 포착하지 못한다고 합니다.

이는 공격자가 원하는 곳에 크립토마이닝 코드를 삽입할 수 있는 다양한 방법이 있다는 것을 보여줍니다.

더 심각한 문제는 이러한 익스플로잇이 현재 널리 퍼져 있으며, 공격자가 자동화된 도구를 사용하여 취약한 PostgreSQL 서버를 찾을 수 있다는 점입니다. 더 심각한 문제는 CVE-2019-9193의 경우 현재 사용 가능한 패치가 없다는 것입니다.

 

 

 

현실 세계에서 크립토재킹 처리하기

 

크립토마이닝 소프트웨어가 직접적인 운영 비용과 예측할 수 없는 간접 비용 모두에서 조직에 막대한 비용을 초래할 수 있는 방법을 간략하게 설명해드렸습니다.

PGMiner를 발견한 팀은 PostgreSQL을 사용하는 모든 사람이 모범 사례에 정말 집중해야 한다고 제안했습니다. 예를 들어, PostgreSQL에서 수퍼유저 액세스 사용을 최소화하거나 완전히 폐지하고 원격 사용자가 수행할 수 있는 작업을 제한하는 것이 좋습니다.

모범 사례와 관련된 또 다른 핵심 사항은 취약점을 지속적으로 패치하는 능력입니다. CVE-2019-9193 자체에는 현재 관련 패치가 없지만, 크게 보면 패치를 적용하면 서버에 크립토마이닝 코드를 설치하려는 공격자를 포함하여 공격자의 진입점 역할을 하는 취약점을 차단할 수 있습니다.

특히, 많은 멀웨어 위협이 특정 프로세서 아키텍처로 제한되어 있는 반면, 이 글에서 설명하는 PostgreSQL 위협은 x86, ARM 및 MIPS 프로세서 아키텍처 전반에 걸쳐 위협이 됩니다.

 

 

 

자동화된 실시간 패치가 핵심입니다.

 

이전 섹션에서 패치 적용에 대해 언급했지만 패치 적용과 관련된 어려움이 있습니다. 일관되고 효과적으로 패치를 적용하는 것은 특히 어렵습니다. 기술팀은 때때로 패치를 우선순위에 두지 않으며, 패치를 최대한 빠르게 배포할 수 있는 리소스가 없거나 일관된 방식으로 패치를 배포할 수 있는 리소스가 거의 없는 경우가 많습니다.

사이버 보안에서 흔히 그렇듯이 자동화는 패치를 올바르게 수행하기 위한 첫 번째 단계입니다. 패치 자동화는 바쁜 기술 팀의 업무 부담을 덜어주는 동시에 자동화를 통해 일관성을 높입니다.

그러나 패치 작업에는 종종 서비스 중단이 수반되기 때문에 자동화만으로는 충분하지 않으며, 팀에서 패치 작업으로 인해 서비스가 중단될 것을 우려하여 패치 작업을 보류하는 경우가 발생할 수 있습니다. 실시간 패치는 서버를 다시 시작할 필요 없이 패치를 적용할 수 있도록 하여 이 문제를 완화합니다.

 

 

 

PostgreSQL용 TuxCare 라이브 패치 적용

 

라이브 패치는 그다지 널리 사용 가능하지 않으며, 솔루션이 의존하는 모든 운영 체제 및 서비스(예: PostgreSQL)에 항상 사용할 수 있는 것은 아닙니다. 하지만 다행히도 TuxCare는 PostgreSQL 서버에 대한 실시간 패치를 배포하기 위해 적극적으로 노력하고 있다는 사실을 알려드리게 되어 기쁩니다.

당사는 이미 주요 Linux OS 배포 및 해당 배포의 주요 라이브러리를 위한 라이브 패치 솔루션을 제공하고 있습니다. Linux 서버 운영 체제용 라이브 패치 솔루션 사용자는 유지 보수 팀이 패치를 적용하는 데 소요되는 시간을 훨씬 줄일 수 있으며, TuxCare가 자동으로 패치를 적용하므로 이점을 누릴 수 있습니다.

자동화된 실시간 패치 솔루션은 패치를 즉시 적용하므로 서버 유지 보수에도 도움이 됩니다. 라이브 패치는 서버를 재시작할 필요 없이 중요한 보안 업데이트가 운영 중단 없이 설치된다는 것을 의미합니다.

이 실시간 자동 패치 기능은 곧 PostgreSQL 데이터베이스에 사용할 수 있으며, TuxCare를 사용하는 조직은 PostgreSQL 패치 체제를 크게 개선하여 크립토마이너를 비롯한 멀웨어 주입의 기회를 크게 줄일 수 있습니다.

 

 

 

PostgreSQL이 블랙홀이 되지 않도록 하세요.

 

이제 수익을 노리는 해커가 여러분의 서버, 그리고 실제로 PostgreSQL 데이터베이스에 크립토마이닝 코드를 숨기려고 할 수 있다는 사실을 알게 되었습니다. 크립토마이닝 소프트웨어는 소프트웨어 솔루션과 평화롭게 공존하는 것이 아니라 리소스를 소모하고 매우 큰 비용의 위험에 처하게 할 수 있으므로 무시할 수 있는 위협이 아닙니다.

인식은 좋은 시작이지만, 반드시 조치를 취해야 합니다. 권한과 사용자를 제한하고 지속적으로 패치를 적용하여 PostgreSQL 인스턴스를 강화하세요. 지속적으로 패치를 적용하는 데 어려움을 겪고 계신가요? 곧 출시될 PostgreSQL을 포함한 DBMS용 TuxCare 라이브 패치 서비스를 주목하세요.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기