보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

레디스 서버 75%가 각종 사이버 공격에 노출되어 있다

입력 : 2018-06-04 16:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
허니팟 연지 하루 만에 7만 번의 공격 발생해
인터넷에 연결시키면 안 되는 서버를 연결시키니 해커들 먹잇감


[보안뉴스 문가용 기자] 7만 2천 개의 공개된 레디스(Redis, Remote Dictionary Server) 서버들을 스캐닝한 결과 약 75%가 공격에 노출되어 있다고 보안 업체 임퍼바가 발표했다. 임퍼바는 키(key)와 값(value)을 메모리 내에서 페어링시켜 파일로 전환함으로써 레디스 서버 허니팟을 구축했는데, 그 결과 약 75%의 서버에서 악성 행위가 탐지된 것이다.

[이미지 = iclickart]


“3/4 이상의 허니팟 서버에서 악성 값이 발견됐는데, 이는 공격이나 감염을 나타내는 현상입니다. 또 열린 레디스 서버의 2/3 이상이 악성 키를 가지고 있었습니다. 감염된 서버들 중 백업 키를 가지고 있는 서버의 경우 중형 규모의 봇넷(610개의 IP로 구성되어 있음)으로 감염되었다는 사실이 추가로 밝혀지기도 했는데, 그 IP들 중 86%는 중국에 있었습니다.”

임퍼바의 이번 연구 조사를 이끈 나다브 아비탈(Nadav Avital)은 오늘 블로그 포스트를 통해 “감염률이 꽤나 높은 수치를 기록한 건, 당연히 인터넷에 직접 노출되어 있기 때문”이라고 밝혔다. “이상한 건, 레디스 서버를 인터넷에 곧바로 노출되도록 설정하지 않는 것이 권장사항이라는 겁니다. 하지만 실상은 많은 서버들이 인터넷을 통한 접근을 허용하고 있죠.”

올해 초 임퍼바는 레디스워너마인(RedisWannaMine)이라는 공격에 대해 공개한 바 있다. 이 공격은 오픈 레디(Redi) 및 윈도우 서버를 통해 번져나가는 공격이었는데, 최근에 와서 비슷한 종류의 또 다른 공격이 있음을 발견한 것이다.

레디스는 많은 특성과 기능을 가진 툴로, 인메모리 분산형 데이터베이스나 캐시, 혹은 메시지 브로커로서 활용이 가능하다. 설계에서부터 ‘신뢰 가능한’ 혹은 ‘확인된’ 클라이언트가, 마찬가지로 신뢰가 가능하고 확인이 된 환경에서만 접근하도록 되어 있으며, 그러므로 공공 인터넷에 접근 가능하면 안 된다.

아비탈은 임퍼바 블로그를 통해 “레디스 서버를 안전하게 지키려면 인터넷에 절대 연결해서는 안 된다”고 강조했다. 그 이유는 레디스가 암호화 기술을 사용하고 있지 않으며, 데이터를 평문으로 저장하는 등, 민감한 정보를 저장하는 데에 적합하지 않은 것이기 때문이다.

“보안 문제를 일으키는 가장 빈번한 요인 중 하나는 사람들이 설명서를 제대로 읽지 않는다는 겁니다. 일단 하고 보는 거지, 설명서를 꼼꼼하게 읽고, 거기서 시키는 대로 설정을 조정하거나 비밀번호를 바꾸지 않아요. 그러니 인터넷에 연결되면 안 될 것들이 연결되어 있는 사고가 빈번하게 발생하는 것이죠.”

임퍼바의 전문가들이 실험해본 결과 허니팟 레디스 서버를 인터넷에 공개시키고 하루도 채 지나지 않아 공격이 시작됐다. “취약점 스캐닝이 시작되는 것은 물론 암호화폐 채굴 코드를 앞세운 사이버 공격이 들어오기 시작했습니다. 총 295개 IP에서 약 7만 번의 공격이 있었어요. 하루도 되지 않는 시간에 말이죠.”

취약점 익스플로잇 종류도 다양했다. “SQL 주입 공격, XSS 공격, 악성 파일 업로드 공격, 원격 코드 실행 공격 등 온갖 종류의 공격이 대입되고 있었습니다. 허니팟 서버에도 이만큼 다채롭고 어마어마한 공격이 탐지되었다면, 진짜 레디스 서버에도 비슷한 일이 일어나고 있다고 봐야죠.” 아비탈이 쓴 내용이다.

뿐만 아니라 임퍼바는 인터넷에 공개된 데이터를 분석하다가 여러 가지 기밀 혹은 민감 정보를 발견하기도 했다. “비밀 SSH 키를 발견했고, 이를 통해 몇몇 서버에 접근하는 데 성공하기도 했습니다. 또 네트워크 트래픽을 복호화시킬 수 있는 인증서도 발견했고, 개인식별 정보도 찾아낼 수 있었습니다.” 서버 설정도 보안 규칙에 맞게 하지 않으면서 비밀정보를 조심스럽게 간직한다는 건 불가능하다는 이야기다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)