데이터를 쉽게 발견해주기 때문에 공격자들 편에서는 효율 높일 수 있어
민감도 낮출 수도 있어 모니터링 및 보안 도구에 탐지되지 않는 것도 가능
[보안뉴스 문가용 기자] SQL 데이터 발견 및 항목화(SQL Data Discovery & Classification)은 마이크로소프트가 SQL 서버 2019(SQL Server 2019)에 탑재한 도구로, 편리한 데이터 관리를 위해 고안된 것이다. 그런데 이것이 공격자들의 정보 수집을 편리하게 해줄 수 있다는 연구 결과가 발표됐다.
[이미지 = iclickart]
보안 업체 임퍼바(Imperva)의 보안 엔지니어인 아비단 레이흐(Avidan Reich)에 의하면 “SQL 데이터 발견 및 항목화 도구를 통해 공격자들은 어떤 정보가 민감하고 어떤 정보가 사소한 것인지 구분할 수 있게 된다”고 설명한다. 대신 “이 툴 때문에 정보에 접근이 가능하게 되는 건 아니”라고 강조하기도 했다. “다만 해당 도구의 작동 방식이 오히려 공격자를 이롭게 할 수 있다는 걸 지적하고 싶었습니다.”
SQL 데이터 발견 및 항목화 도구는 SQL 서버 관리 스튜디오(SQL Server Management Studio, SSMS)에 장착되어 있고, 사용자들은 이를 이용해 데이터베이스에 저장된 민감한 정보를 찾아내고 분류해 관리할 수 있다. 또한 ‘민감도 항목 추가(Add Sensitivity Classification)’라는 SQL 명령이나 SSMS GUI를 통해 데이터를 보다 쉽게 관리할 수도 있다.
데이터의 항목이 결정되면, 그 사실이 감사 로그에 추가된다. 따라서 직원들은 이 정보에 누가 어떤 시간에 접근했는지 등을 꾸준히 관찰할 수 있다. 이는 규정 준수와 감사에 큰 도움이 된다고 레이흐는 설명한다.
이 지점에서 레이흐는 ‘직무 분리(segregation of duties)’라는 개념을 설명한다. “데이터베이스 관리자들에게만 데이터베이스 관리 업무에 필요한 도구만을 제공해야 합니다. 데이터베이스를 설계, 관리하고, 데이터베이스 사용 현황이나 성능, 속도를 모니터링하는 것을 말하죠. 그런 일을 다른 사람이 할 수 있게 되면, 그 자체로 데이터베이스는 큰 위험에 처하게 됩니다.”
직무 분리를 잘 수행하는 조직이라면 보안 직원들만이 데이터베이스에 저장된 데이터를 분류하고 정리할 수 있어야 한다. 데이터베이스에 있는 데이터를 외부인이 스캔할 수 있게 해준다면, 또 그 데이터베이스의 속사정을 누구나 환히 볼 수 있게 된다면 DB 관리자로서는 데이터를 관리할 수 없게 된다.
레이흐는 “SQL 데이터 발견 및 항목화 도구에서 이런 ‘직무 분리’와 관련된 문제를 발견한 것”이라고 설명한다. “이 도구는 지나치게 편리합니다. 그래서 민감한 정보가 데이터베이스 어디에 위치하고 있는지 쉽고 간편하게 열람할 수 있게 해주죠. 악성 내부자가 회사에 있다면 어떨까요? 직원의 크리덴셜이 유출된 상태라면 어떨까요? 데이터베이스에서 필요한 것만 쏙쏙 골라갈 수 있게 됩니다. 공격의 효율이 높아진다는 것이죠.”
“이런 편리한 도구가 없었다면 공격자들은 어떤 식으로 접근해야 할까요? 민감한 데이터를 찾기 위해 모든 애플리케이션 테이블들을 스캔해야 합니다. 그런데 이는 꽤나 시끌시끌한 과정이라 보안 솔루션에 탐지될 가능성이 높습니다. 공격자들로서도 위험을 감수해야 한다는 겁니다. 실패할 경우도 많고요. 그러므로 민감한 데이터의 위치를 정확하게 알 수만 있다면 스캐닝 과정도 피할 수 있고 보안 솔루션도 피해갈 수 있게 됩니다.”
심지어 데이터의 라벨을 바꾸는 것도 가능하다. 민감한 정보를 민감하지 않은 정보인 것처럼 분류할 수도 있다는 것이다. “이런 경우 공격자는 데이터 관련 모니터링 도구가 돌아가더라도 얼마든지 민감한 정보에 접근할 수 있게 됩니다. 감시 도구가 보기에는 민감한 정보가 아니기 때문에 경보를 울리지 않죠. 행동 분석 기반 도구들도 무력화시킬 수 있게 됩니다.”
임퍼바 측은 이러한 내용을 MS에 전달했으나 MS는 “해당 도구의 목적은 쉽고 편리하게 데이터를 찾아내고 관리하며 분류할 수 있게 해주는 것”이라며 “(임퍼바가 제시한) 공격 시나리오를 현실적이거나 실제 위협이라고 여기지 않으며, 따라서 관련 내용을 해결하기 위한 보안 업데이트도 없을 예정”이라고 공식 발표했다.
만약 지금 회사에서 SQL 데이터 발견 및 항목화 도구를 사용하고 있다면 어떻게 위험을 줄일 수 있을까? 레이흐는 다음 몇 가지를 제시했다.
1) 민감한 데이터의 위치 정보를 보유하고 있는 sys.sensitivity_classifications에 대한 접근 행위를 모니터링 한다.
2) ‘민감도 설정 취소(Drop Sensitivity Classification)’라는 옵션이 실행되는지를 모니터링 한다.
3) ‘민감도 설정 취소’를 아무 계정에서나 실행하지 못하도록 확인한다.
3줄 요약
1. SQL 서버 관리를 위한 도구, 오히려 범죄자 도울 수 있음.
2. 민감한 정보를 쉽게 찾아낼 수 있게 해주고, 민감도 설정을 취소시킬 수 있음.
3. 따라서 공격 효율이 올라가고, 모니터링 도구들이 무력화 될 수도 있음.
[국제부 문가용 기자(globoan@boannews.com)]
민감도 낮출 수도 있어 모니터링 및 보안 도구에 탐지되지 않는 것도 가능
[보안뉴스 문가용 기자] SQL 데이터 발견 및 항목화(SQL Data Discovery & Classification)은 마이크로소프트가 SQL 서버 2019(SQL Server 2019)에 탑재한 도구로, 편리한 데이터 관리를 위해 고안된 것이다. 그런데 이것이 공격자들의 정보 수집을 편리하게 해줄 수 있다는 연구 결과가 발표됐다.
[이미지 = iclickart]
보안 업체 임퍼바(Imperva)의 보안 엔지니어인 아비단 레이흐(Avidan Reich)에 의하면 “SQL 데이터 발견 및 항목화 도구를 통해 공격자들은 어떤 정보가 민감하고 어떤 정보가 사소한 것인지 구분할 수 있게 된다”고 설명한다. 대신 “이 툴 때문에 정보에 접근이 가능하게 되는 건 아니”라고 강조하기도 했다. “다만 해당 도구의 작동 방식이 오히려 공격자를 이롭게 할 수 있다는 걸 지적하고 싶었습니다.”
SQL 데이터 발견 및 항목화 도구는 SQL 서버 관리 스튜디오(SQL Server Management Studio, SSMS)에 장착되어 있고, 사용자들은 이를 이용해 데이터베이스에 저장된 민감한 정보를 찾아내고 분류해 관리할 수 있다. 또한 ‘민감도 항목 추가(Add Sensitivity Classification)’라는 SQL 명령이나 SSMS GUI를 통해 데이터를 보다 쉽게 관리할 수도 있다.
데이터의 항목이 결정되면, 그 사실이 감사 로그에 추가된다. 따라서 직원들은 이 정보에 누가 어떤 시간에 접근했는지 등을 꾸준히 관찰할 수 있다. 이는 규정 준수와 감사에 큰 도움이 된다고 레이흐는 설명한다.
이 지점에서 레이흐는 ‘직무 분리(segregation of duties)’라는 개념을 설명한다. “데이터베이스 관리자들에게만 데이터베이스 관리 업무에 필요한 도구만을 제공해야 합니다. 데이터베이스를 설계, 관리하고, 데이터베이스 사용 현황이나 성능, 속도를 모니터링하는 것을 말하죠. 그런 일을 다른 사람이 할 수 있게 되면, 그 자체로 데이터베이스는 큰 위험에 처하게 됩니다.”
직무 분리를 잘 수행하는 조직이라면 보안 직원들만이 데이터베이스에 저장된 데이터를 분류하고 정리할 수 있어야 한다. 데이터베이스에 있는 데이터를 외부인이 스캔할 수 있게 해준다면, 또 그 데이터베이스의 속사정을 누구나 환히 볼 수 있게 된다면 DB 관리자로서는 데이터를 관리할 수 없게 된다.
레이흐는 “SQL 데이터 발견 및 항목화 도구에서 이런 ‘직무 분리’와 관련된 문제를 발견한 것”이라고 설명한다. “이 도구는 지나치게 편리합니다. 그래서 민감한 정보가 데이터베이스 어디에 위치하고 있는지 쉽고 간편하게 열람할 수 있게 해주죠. 악성 내부자가 회사에 있다면 어떨까요? 직원의 크리덴셜이 유출된 상태라면 어떨까요? 데이터베이스에서 필요한 것만 쏙쏙 골라갈 수 있게 됩니다. 공격의 효율이 높아진다는 것이죠.”
“이런 편리한 도구가 없었다면 공격자들은 어떤 식으로 접근해야 할까요? 민감한 데이터를 찾기 위해 모든 애플리케이션 테이블들을 스캔해야 합니다. 그런데 이는 꽤나 시끌시끌한 과정이라 보안 솔루션에 탐지될 가능성이 높습니다. 공격자들로서도 위험을 감수해야 한다는 겁니다. 실패할 경우도 많고요. 그러므로 민감한 데이터의 위치를 정확하게 알 수만 있다면 스캐닝 과정도 피할 수 있고 보안 솔루션도 피해갈 수 있게 됩니다.”
심지어 데이터의 라벨을 바꾸는 것도 가능하다. 민감한 정보를 민감하지 않은 정보인 것처럼 분류할 수도 있다는 것이다. “이런 경우 공격자는 데이터 관련 모니터링 도구가 돌아가더라도 얼마든지 민감한 정보에 접근할 수 있게 됩니다. 감시 도구가 보기에는 민감한 정보가 아니기 때문에 경보를 울리지 않죠. 행동 분석 기반 도구들도 무력화시킬 수 있게 됩니다.”
임퍼바 측은 이러한 내용을 MS에 전달했으나 MS는 “해당 도구의 목적은 쉽고 편리하게 데이터를 찾아내고 관리하며 분류할 수 있게 해주는 것”이라며 “(임퍼바가 제시한) 공격 시나리오를 현실적이거나 실제 위협이라고 여기지 않으며, 따라서 관련 내용을 해결하기 위한 보안 업데이트도 없을 예정”이라고 공식 발표했다.
만약 지금 회사에서 SQL 데이터 발견 및 항목화 도구를 사용하고 있다면 어떻게 위험을 줄일 수 있을까? 레이흐는 다음 몇 가지를 제시했다.
1) 민감한 데이터의 위치 정보를 보유하고 있는 sys.sensitivity_classifications에 대한 접근 행위를 모니터링 한다.
2) ‘민감도 설정 취소(Drop Sensitivity Classification)’라는 옵션이 실행되는지를 모니터링 한다.
3) ‘민감도 설정 취소’를 아무 계정에서나 실행하지 못하도록 확인한다.
3줄 요약
1. SQL 서버 관리를 위한 도구, 오히려 범죄자 도울 수 있음.
2. 민감한 정보를 쉽게 찾아낼 수 있게 해주고, 민감도 설정을 취소시킬 수 있음.
3. 따라서 공격 효율이 올라가고, 모니터링 도구들이 무력화 될 수도 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
