몽고DB 등 오픈소스 데이터베이스 인스턴스 공격 증가 중
아직은 고차원적인 해킹 기술 동원되지 않아...기본만 지켜도 방어 가능
[보안뉴스 문가용 기자] 지난 몇 개월 동안 생산 환경에서의 데이터베이스를 겨냥한 공격들이 계속해서 증가해왔다. 특히 윤리적 해커이자 GDI 재단(GDI Foundation)의 설립자인 빅터 게버스(Victor Gevers)가 지난 12월 몽고DB 인스턴스를 공격할 수 있다는 사실을 세상에 알린 후 카스퍼스키 역시 데이터베이스의 취약점을 파헤치기 시작했다. 그러면서 카우치DB(CouchDB)와 하둡(Hadoop) 데이터베이스를 겨냥한 공격들이 나타나기도 했다.
공격자들은 의료 산업 내 조직들이나 통신사에서 운영하는 데이터베이스 인스턴스를 노려 ‘귀중한’ 데이터들에 손을 대기 시작했다. 그러면서 랜섬웨어 전략까지 더해, ‘돈을 내지 않으면 지금 데이터베이스에 있는 데이터들을 다신 보지 못할 것이다’라고 협박하기 시작했다. 이런 유형의 공격은 앞으로도 계속해서 퍼질 것으로 보인다. 특히 대기업들의 데이터베이스를 겨냥한 공격자들이 늘어날 것이다. 이를 데이터 재킹(data-jacking)이라고 부르며, 이 새로운 유행은 이제 막 시작됐다. 데이터 재킹의 특징은 다음과 같다.
1. 현재까지는 불특정다수를 향한, 고급화되지 않은 공격에 그쳤다.
현재까지 공격자들은 공략이 쉬운 표적을 주로 노리고, ‘운’에 많이 의존하고 있다. 예를 들어 몽고DB의 경우 공격자들은 대부분 쇼단(Shodan) 쿼리를 사용해 인터넷에 그냥 노출되어 있는 몽고DB 서버를 찾아내거나 이미 흔하게 퍼진 툴킷을 사용해 취약한 인스턴스에 접근하는 방법을 사용했다. 특별한 해킹 기술을 발휘하고 있는 경우는 거의 없다.
2. 암호화 화폐의 발달 덕분에 데이터재커들이 돈 벌기가 쉬워졌다.
랜섬웨어 공격자들이든, 데이터재커들이든 협박한 금액을 반드시 비트코인으로 내라고 요구한다. 비트코인은 추적이 불가능하기 때문이다. 하지만 데이터재커들은 피해자가 돈을 낸 후에도 데이터를 돌려주는 경우가 거의 없다. 백업 과정 없이 취약한 데이터베이스에 접근해 그냥 모든 걸 지워버리기 때문이다.
3. 데이터베이스 인스턴스 공격은 대부분 사용자의 허술함 때문에 발생한다.
데이터재킹 공격에 당하는 데이터베이스들은 대부분 환경 설정의 오류를 가지고 있다. 그래서 조금만 검색하면 누구나 출입이 가능하도록 되어 있다. 몽고DB의 경우 접근 인증 과정이 없는 게 디폴트다. 사용자가 따로 설정을 해주어야만 한다. 그러나 이렇게 하지 않는 사용자들이 더 많다. 클라우드 환경에서 이는 더 큰 재앙으로 이어질 것이다.
그렇다면 데이터재킹 공격으로부터 데이터베이스를 보호하려면 어떻게 해야 할까? 다음 세 가지 방법을 추천한다.
1. 다층의 클라우드 보안이 필요하다.
제일 먼저는 정책 설정으로 불필요한 접근을 최소화시키는 것이 중요하다. 정책을 정하고 이를 환경 설정으로서 반영하는 것을 말한다. 취약점 관리, 망 분리, 트래픽 가시성 등에 대한 내용들도 정책에 다루어져야 한다.
2. 오픈소스 데이터베이스를 회사 클라우드에 적용시키기 전에 충분히 공부하라.
어떤 취약점이 알려져 있고, 어떤 식으로 보안을 강화해야 하는지, 환경 설정 옵션엔 뭐가 있는지, 안전한 사용 팁 등을 조사해서 숙지해야 한다. 모든 해킹 공격이 다 그렇지만 데이터재킹 역시 딱 한 번만 성공하면 된다는 걸 명심하고, 긴장하는 마음으로 최대한 꼼꼼하게 학습하도록 하자.
3. 정책 준수와 보안 유지보수에 민감해지자.
정책이나 표준을 준수하는 게 보안의 전부가 아니라고 하는 말들이 돌아다니며 국가나 산업에서 정한 것들을 은근히 무시하는 풍조가 생기고 있는데, 정책이나 표준이 만병통치약은 아니지만 매우 기본적인 것이라는 걸 기억해야 한다. 기초지식, 기초건강 같은 것이다. 또한 취약점 점검, 오류 수정, 네트워크 모니터링 같은 일들도 주기적으로 하는 것이 좋다.
데이터 재킹은 90년대 한창 유행했던 텔넷 해킹(Telnet-based hacking)과 비슷하다. 텔넷 해킹 역시 열린 포트와 약한 관리자 암호 때문에 발생할 수 있었다. 하지만 데이터 재킹은 값비싼 데이터를 두고 일어나는 일이다. 그 결과가 훨씬 심각할 수 있다는 것이다. 클라우드 시대, 기본적인 보안 실천사항들이 잘 지켜지는지 점검해야 할 때다.
글 : 조하 알론(Zohar Alon)
[국제부 문가용 기자(globoan@boannews.com)]
아직은 고차원적인 해킹 기술 동원되지 않아...기본만 지켜도 방어 가능
[보안뉴스 문가용 기자] 지난 몇 개월 동안 생산 환경에서의 데이터베이스를 겨냥한 공격들이 계속해서 증가해왔다. 특히 윤리적 해커이자 GDI 재단(GDI Foundation)의 설립자인 빅터 게버스(Victor Gevers)가 지난 12월 몽고DB 인스턴스를 공격할 수 있다는 사실을 세상에 알린 후 카스퍼스키 역시 데이터베이스의 취약점을 파헤치기 시작했다. 그러면서 카우치DB(CouchDB)와 하둡(Hadoop) 데이터베이스를 겨냥한 공격들이 나타나기도 했다.
공격자들은 의료 산업 내 조직들이나 통신사에서 운영하는 데이터베이스 인스턴스를 노려 ‘귀중한’ 데이터들에 손을 대기 시작했다. 그러면서 랜섬웨어 전략까지 더해, ‘돈을 내지 않으면 지금 데이터베이스에 있는 데이터들을 다신 보지 못할 것이다’라고 협박하기 시작했다. 이런 유형의 공격은 앞으로도 계속해서 퍼질 것으로 보인다. 특히 대기업들의 데이터베이스를 겨냥한 공격자들이 늘어날 것이다. 이를 데이터 재킹(data-jacking)이라고 부르며, 이 새로운 유행은 이제 막 시작됐다. 데이터 재킹의 특징은 다음과 같다.
1. 현재까지는 불특정다수를 향한, 고급화되지 않은 공격에 그쳤다.
현재까지 공격자들은 공략이 쉬운 표적을 주로 노리고, ‘운’에 많이 의존하고 있다. 예를 들어 몽고DB의 경우 공격자들은 대부분 쇼단(Shodan) 쿼리를 사용해 인터넷에 그냥 노출되어 있는 몽고DB 서버를 찾아내거나 이미 흔하게 퍼진 툴킷을 사용해 취약한 인스턴스에 접근하는 방법을 사용했다. 특별한 해킹 기술을 발휘하고 있는 경우는 거의 없다.
2. 암호화 화폐의 발달 덕분에 데이터재커들이 돈 벌기가 쉬워졌다.
랜섬웨어 공격자들이든, 데이터재커들이든 협박한 금액을 반드시 비트코인으로 내라고 요구한다. 비트코인은 추적이 불가능하기 때문이다. 하지만 데이터재커들은 피해자가 돈을 낸 후에도 데이터를 돌려주는 경우가 거의 없다. 백업 과정 없이 취약한 데이터베이스에 접근해 그냥 모든 걸 지워버리기 때문이다.
3. 데이터베이스 인스턴스 공격은 대부분 사용자의 허술함 때문에 발생한다.
데이터재킹 공격에 당하는 데이터베이스들은 대부분 환경 설정의 오류를 가지고 있다. 그래서 조금만 검색하면 누구나 출입이 가능하도록 되어 있다. 몽고DB의 경우 접근 인증 과정이 없는 게 디폴트다. 사용자가 따로 설정을 해주어야만 한다. 그러나 이렇게 하지 않는 사용자들이 더 많다. 클라우드 환경에서 이는 더 큰 재앙으로 이어질 것이다.
그렇다면 데이터재킹 공격으로부터 데이터베이스를 보호하려면 어떻게 해야 할까? 다음 세 가지 방법을 추천한다.
1. 다층의 클라우드 보안이 필요하다.
제일 먼저는 정책 설정으로 불필요한 접근을 최소화시키는 것이 중요하다. 정책을 정하고 이를 환경 설정으로서 반영하는 것을 말한다. 취약점 관리, 망 분리, 트래픽 가시성 등에 대한 내용들도 정책에 다루어져야 한다.
2. 오픈소스 데이터베이스를 회사 클라우드에 적용시키기 전에 충분히 공부하라.
어떤 취약점이 알려져 있고, 어떤 식으로 보안을 강화해야 하는지, 환경 설정 옵션엔 뭐가 있는지, 안전한 사용 팁 등을 조사해서 숙지해야 한다. 모든 해킹 공격이 다 그렇지만 데이터재킹 역시 딱 한 번만 성공하면 된다는 걸 명심하고, 긴장하는 마음으로 최대한 꼼꼼하게 학습하도록 하자.
3. 정책 준수와 보안 유지보수에 민감해지자.
정책이나 표준을 준수하는 게 보안의 전부가 아니라고 하는 말들이 돌아다니며 국가나 산업에서 정한 것들을 은근히 무시하는 풍조가 생기고 있는데, 정책이나 표준이 만병통치약은 아니지만 매우 기본적인 것이라는 걸 기억해야 한다. 기초지식, 기초건강 같은 것이다. 또한 취약점 점검, 오류 수정, 네트워크 모니터링 같은 일들도 주기적으로 하는 것이 좋다.
데이터 재킹은 90년대 한창 유행했던 텔넷 해킹(Telnet-based hacking)과 비슷하다. 텔넷 해킹 역시 열린 포트와 약한 관리자 암호 때문에 발생할 수 있었다. 하지만 데이터 재킹은 값비싼 데이터를 두고 일어나는 일이다. 그 결과가 훨씬 심각할 수 있다는 것이다. 클라우드 시대, 기본적인 보안 실천사항들이 잘 지켜지는지 점검해야 할 때다.
글 : 조하 알론(Zohar Alon)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
