API 취약점으로 공격에 노출된 팀 협업 도구...전 세계 3,000개 이상 기업이 사용 중
API 보안 취약점 모니터링, 비인가 접근 차단, 데이터 보안 강화 등 선조치 필요
[보안뉴스 김영명 기자] 최근 팀 협업 도구를 제공하는 오스트레일리아의 소프트웨어 기업인 아틀라시안(Atlassian)의 작업 관리도구 트렐로(Trello)에서 약 1,500만명의 사용자 개인정보가 다크웹에 유출되는 사건이 발생했다. 이번 사건은 API 취약점을 악용한 해커의 공격으로 발생한 것으로 확인됐다.
▲프로젝트 관리와 협업툴인 트렐로[자료=에이아이스페라]
에이아이스페라(AI Spera)는 최근 해커가 어떻게 API 취약점을 악용해 개인정보를 탈취했는지, 팀 협업 도구가 해커의 타깃이 되는 이유와 보안상 유의점에 대해 설명했다. 먼저 API 취약점을 악용한 트렐로의 개인정보 유출 과정을 살펴본다.
아틀라시안은 다양한 프로젝트 관리 도구와 소프트웨어 개발 도구를 제공한다. 그 중 ‘트렐로’는 프로젝트 관리와 협업을 위한 도구로 보드, 카드 리스트 형태로 작업을 조직화할 수 있는 기능을 갖췄다. 전 세계 3,000개 이상의 기업이 트렐로를 사용하고 있으며, 사용자들은 이를 통해 효율적으로 작업을 관리하고 협력할 수 있다.
▲API 취약점 발견 및 트렐로 개인정보 유출 공격에 악용한 방법[자료=에이아이스페라]
이번 트렐로 개인정보 유출 사건은 ’emo’라는 해커가 다크웹 포럼에 트렐로 사용자들의 계정 정보를 포함한 데이터베이스를 판매한다고 게시하면서 알려졌다. 트렐로 개인정보 유출 사건은 ‘공개된 API 엔드포인트 악용’-‘이메일 주소 목록 활용’-‘데이터 조합’-‘데이터 유출 및 판매’ 등 네 단계에 걸쳐 진행됐다.
먼저 ‘공개된 API 엔드포인트 악용’을 보면, 트렐로는 REST API를 통해 사용자들이 공개된 프로필 정보를 조회할 수 있는 기능을 제공했다. 이 API는 사용자 ID, 사용자 이름, 이메일 주소를 기반으로 프로필 정보를 검색할 수 있도록 설계됐다. 초기에는 API가 인증 없이 접근이 가능했다. 누구든지 API를 호출해 공개된 정보를 검색할 수 있었으며, 이로 인해 해커는 무제한으로 데이터 수집이 가능했다.
두 번째는 ‘이메일 주소 목록 활용’이다. 해커 ’emo’는 무려 5억개의 이메일 주소를 포함하는 대규모 목록을 준비했다. 이 목록은 다양한 소스에서 수집된 이메일 주소들로 구성돼 있었다. 이 이메일 주소 목록을 API에 입력해 각 이메일 주소가 트렐로 계정과 연결돼 있는지 확인했다. API를 호출한 결과, 각 이메일 주소와 연결된 계정 정보가 반환됐다.
세 번째는 ‘데이터 조합’이다. API 호출을 통해 반환된 데이터에는 사용자 ID, 프로필 URL, 상태 정보, 설정 및 제한 사항, 관련 보드 멤버십 정보가 포함돼 있었다. 해커는 이 정보를 수집해 각 이메일 주소와 연결된 사용자 프로필을 생성했다. 5억개의 이메일 주소와 API를 통해 반환된 사용자 정보를 조합, 1,500만개 이상의 상세 사용자 프로필을 완성했다.
네 번째는 ‘데이터 유출 및 판매’다. 해커는 생성된 사용자 프로필 정보를 다크웹 포럼 ‘Breached’에 게시했다. 이를 통해 다른 해커나 범죄자들이 이 정보를 구매할 수 있도록 했다. ’emo’는 전체 리스트를 8사이트 크레딧, 즉 약 2.32달러(한화 3,192원)에 판매했다. 유출된 정보는 대량으로 제공됐으며, 개인정보 도용, 피싱 공격, 개인정보 노출(doxing) 등에 악용될 수 있다.
이에 아틀라시안은 이메일 주소를 기반으로 다른 사용자들의 공개 정보를 요청하는 비인가 사용자들의 접근을 차단하는 조치를 취했다고 밝혔다. 또한 API 사용을 지속해서 모니터링하고 필요한 조치를 취할 것이라고 덧붙였다.
CTI 검색엔진으로 아틀라시안의 노출된 IP 주소 탐색
이번 트렐로 개인정보 유출 사건에 타깃이 된 트렐로를 포함한 팀 협업 도구는 항상 해커의 주요 공격 대상이 되어왔다. 대표적인 글로벌 팀 협업 도구 기업인 아틀라시안의 지라(Jira), 컨플루언스(Confluence), 트렐로 등은 각종 취약점과 공격에 노출되고 있다.
CTI 검색엔진 크리미널 IP(Criminal IP)의 애셋 서치(Asset Search)를 사용해 아틀라시안과 관련된 주요 IP 주소들을 탐색하고, 취약한 상태로 노출된 서버들을 발견할 수 있었다. 특히 취약점을 보유한 상태로 노출된 IP 주소도 발견할 수 있었다는 게 에이아이스페라 측의 설명이다.
▲Criminal IP에서 발견된 아틀라시안 IP 주소의 취약점[자료=에이아이스페라]
IP 주소 리포트의 하단에는 해당 IP 주소에서 운용되고 있는 포트와 서비스를 확인할 수 있다. 해당 IP 주소는 80번 포트에서 컨플루언스가 운영되고 있으며, CVE-2023-22515 취약점을 보유한 상태로 확인된다. 기업 및 기관의 내부 문서와 자료들이 공유되는 협업 도구인 만큼 인터넷에 노출돼 있는 자체만으로도 위협이 될 수 있으며, 심지어 알려진 취약점을 보유하고 있는 상태라면 더더욱 언제든지 해커의 타깃이 될 수 있다. 따라서 협업 도구를 사용하는 기업과 기관은 지속적인 보안 관리와 함께 최신 패치를 꾸준히 적용해야 한다.
에이아이스페라 관계자는 “이번 사건은 API 보안의 중요성을 다시 한번 일깨우는 것으로 기업들은 API 보안 취약점을 지속해서 모니터링하고, 비인가 접근을 차단하며, 사용자 데이터를 안전하게 보호하기 위한 조치를 강화해야 할 필요가 있다”고 말했다. 이어 “트렐로 사용자들은 이번 사건을 계기로 개인정보 보호에 더욱 신경을 써야 할 것”이라며 “이때 CTI 검색엔진 크리미널 IP를 활용해 노출된 API 엔드포인트와 관련된 위협을 탐지하고 대응할 수 있다”고 설명했다.
[김영명 기자(boan@boannews.com)]
API 보안 취약점 모니터링, 비인가 접근 차단, 데이터 보안 강화 등 선조치 필요
[보안뉴스 김영명 기자] 최근 팀 협업 도구를 제공하는 오스트레일리아의 소프트웨어 기업인 아틀라시안(Atlassian)의 작업 관리도구 트렐로(Trello)에서 약 1,500만명의 사용자 개인정보가 다크웹에 유출되는 사건이 발생했다. 이번 사건은 API 취약점을 악용한 해커의 공격으로 발생한 것으로 확인됐다.
▲프로젝트 관리와 협업툴인 트렐로[자료=에이아이스페라]
에이아이스페라(AI Spera)는 최근 해커가 어떻게 API 취약점을 악용해 개인정보를 탈취했는지, 팀 협업 도구가 해커의 타깃이 되는 이유와 보안상 유의점에 대해 설명했다. 먼저 API 취약점을 악용한 트렐로의 개인정보 유출 과정을 살펴본다.
아틀라시안은 다양한 프로젝트 관리 도구와 소프트웨어 개발 도구를 제공한다. 그 중 ‘트렐로’는 프로젝트 관리와 협업을 위한 도구로 보드, 카드 리스트 형태로 작업을 조직화할 수 있는 기능을 갖췄다. 전 세계 3,000개 이상의 기업이 트렐로를 사용하고 있으며, 사용자들은 이를 통해 효율적으로 작업을 관리하고 협력할 수 있다.
▲API 취약점 발견 및 트렐로 개인정보 유출 공격에 악용한 방법[자료=에이아이스페라]
이번 트렐로 개인정보 유출 사건은 ’emo’라는 해커가 다크웹 포럼에 트렐로 사용자들의 계정 정보를 포함한 데이터베이스를 판매한다고 게시하면서 알려졌다. 트렐로 개인정보 유출 사건은 ‘공개된 API 엔드포인트 악용’-‘이메일 주소 목록 활용’-‘데이터 조합’-‘데이터 유출 및 판매’ 등 네 단계에 걸쳐 진행됐다.
먼저 ‘공개된 API 엔드포인트 악용’을 보면, 트렐로는 REST API를 통해 사용자들이 공개된 프로필 정보를 조회할 수 있는 기능을 제공했다. 이 API는 사용자 ID, 사용자 이름, 이메일 주소를 기반으로 프로필 정보를 검색할 수 있도록 설계됐다. 초기에는 API가 인증 없이 접근이 가능했다. 누구든지 API를 호출해 공개된 정보를 검색할 수 있었으며, 이로 인해 해커는 무제한으로 데이터 수집이 가능했다.
두 번째는 ‘이메일 주소 목록 활용’이다. 해커 ’emo’는 무려 5억개의 이메일 주소를 포함하는 대규모 목록을 준비했다. 이 목록은 다양한 소스에서 수집된 이메일 주소들로 구성돼 있었다. 이 이메일 주소 목록을 API에 입력해 각 이메일 주소가 트렐로 계정과 연결돼 있는지 확인했다. API를 호출한 결과, 각 이메일 주소와 연결된 계정 정보가 반환됐다.
세 번째는 ‘데이터 조합’이다. API 호출을 통해 반환된 데이터에는 사용자 ID, 프로필 URL, 상태 정보, 설정 및 제한 사항, 관련 보드 멤버십 정보가 포함돼 있었다. 해커는 이 정보를 수집해 각 이메일 주소와 연결된 사용자 프로필을 생성했다. 5억개의 이메일 주소와 API를 통해 반환된 사용자 정보를 조합, 1,500만개 이상의 상세 사용자 프로필을 완성했다.
네 번째는 ‘데이터 유출 및 판매’다. 해커는 생성된 사용자 프로필 정보를 다크웹 포럼 ‘Breached’에 게시했다. 이를 통해 다른 해커나 범죄자들이 이 정보를 구매할 수 있도록 했다. ’emo’는 전체 리스트를 8사이트 크레딧, 즉 약 2.32달러(한화 3,192원)에 판매했다. 유출된 정보는 대량으로 제공됐으며, 개인정보 도용, 피싱 공격, 개인정보 노출(doxing) 등에 악용될 수 있다.
이에 아틀라시안은 이메일 주소를 기반으로 다른 사용자들의 공개 정보를 요청하는 비인가 사용자들의 접근을 차단하는 조치를 취했다고 밝혔다. 또한 API 사용을 지속해서 모니터링하고 필요한 조치를 취할 것이라고 덧붙였다.
CTI 검색엔진으로 아틀라시안의 노출된 IP 주소 탐색
이번 트렐로 개인정보 유출 사건에 타깃이 된 트렐로를 포함한 팀 협업 도구는 항상 해커의 주요 공격 대상이 되어왔다. 대표적인 글로벌 팀 협업 도구 기업인 아틀라시안의 지라(Jira), 컨플루언스(Confluence), 트렐로 등은 각종 취약점과 공격에 노출되고 있다.
CTI 검색엔진 크리미널 IP(Criminal IP)의 애셋 서치(Asset Search)를 사용해 아틀라시안과 관련된 주요 IP 주소들을 탐색하고, 취약한 상태로 노출된 서버들을 발견할 수 있었다. 특히 취약점을 보유한 상태로 노출된 IP 주소도 발견할 수 있었다는 게 에이아이스페라 측의 설명이다.
▲Criminal IP에서 발견된 아틀라시안 IP 주소의 취약점[자료=에이아이스페라]
IP 주소 리포트의 하단에는 해당 IP 주소에서 운용되고 있는 포트와 서비스를 확인할 수 있다. 해당 IP 주소는 80번 포트에서 컨플루언스가 운영되고 있으며, CVE-2023-22515 취약점을 보유한 상태로 확인된다. 기업 및 기관의 내부 문서와 자료들이 공유되는 협업 도구인 만큼 인터넷에 노출돼 있는 자체만으로도 위협이 될 수 있으며, 심지어 알려진 취약점을 보유하고 있는 상태라면 더더욱 언제든지 해커의 타깃이 될 수 있다. 따라서 협업 도구를 사용하는 기업과 기관은 지속적인 보안 관리와 함께 최신 패치를 꾸준히 적용해야 한다.
에이아이스페라 관계자는 “이번 사건은 API 보안의 중요성을 다시 한번 일깨우는 것으로 기업들은 API 보안 취약점을 지속해서 모니터링하고, 비인가 접근을 차단하며, 사용자 데이터를 안전하게 보호하기 위한 조치를 강화해야 할 필요가 있다”고 말했다. 이어 “트렐로 사용자들은 이번 사건을 계기로 개인정보 보호에 더욱 신경을 써야 할 것”이라며 “이때 CTI 검색엔진 크리미널 IP를 활용해 노출된 API 엔드포인트와 관련된 위협을 탐지하고 대응할 수 있다”고 설명했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
