Offcanvas

���������

회사 기밀 '줄줄' 샌다··· 깃허브 저장소에 숨겨진 데이터 유출 위험

공격자는 개발자가 실수로 남긴 ‘기밀’을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색한다. 아무리 사소한 실수라도 충분히 악용될 수 있다.  팬데믹 기간 중 어느 지루했던 날, 보안 연구원 크레이그 헤이스는 SSH 사용자 이름과 암호를 깃허브 저장소에 일부러 유출하고, 공격자가 이를 찾을 수 있는지 확인하는 실험을 했다. 그는 누군가가 이를 알아차리기까지 며칠, 어쩌면 일주일 정도 걸릴 것이라고 생각했다.  하지만 결과는 예상과는 달랐다. 첫 번째 무단 로그인은 34분 이내에 발생했다. 헤이스는 <CSO>와의 인터뷰에서 “너무나 빨리 침해됐다는 사실에 놀랐다”라고 말했다.    그리고 24시간 동안 6개의 서로 다른 IP 주소가 허니팟(비정상적 접근을 탐지하는 시스템)에 총 9번 연결됐다. 한 공격자는 봇넷 클라이언트를 설치하려고 했고, 또 다른 공격자는 서버를 사용해 DoS 공격을 하려 했다. 이 밖에 서버에서 민감한 정보를 훔치려고 하거나 주변을 둘러보고 있었던 공격자도 있었다고 그는 덧붙였다.  헤이스의 실험 결과에 따르면 공격자는 개발자가 남긴 민감한 데이터를 찾기 위해 깃허브 및 기타 퍼블릭 코드 저장소를 끊임없이 스캔하고 있는 것으로 확인됐다.  기업들이 온프레미스 소프트웨어에서 클라우드로 전환하고, 많은 개발자가 재택근무를 하게 되면서 사용자 이름, 암호, 구글 키, 개발 도구, 프라이빗 키를 포함한 기밀 데이터의 양은 계속 증가하고 있다.  프랑스의 보안 스타트업 깃가디언(GitGuardian)의 공동 설립자 에릭 푸리에는 올해만 해도 전년 대비 유출된 기밀 데이터가 최소 20% 이상 증가할 것이라고 밝혔다(참고로 깃가디언은 공개 저장소를 스캔하여 공격자가 악용할 수 있는 데이터를 식별하고 있다). 해커가 깃허브에서 기밀을 찾는 법  해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Na...

깃허브 퍼블릭 코드 저장소 보안 공격자 침해 기밀 유출 데이터 유출

2021.10.07

공격자는 개발자가 실수로 남긴 ‘기밀’을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색한다. 아무리 사소한 실수라도 충분히 악용될 수 있다.  팬데믹 기간 중 어느 지루했던 날, 보안 연구원 크레이그 헤이스는 SSH 사용자 이름과 암호를 깃허브 저장소에 일부러 유출하고, 공격자가 이를 찾을 수 있는지 확인하는 실험을 했다. 그는 누군가가 이를 알아차리기까지 며칠, 어쩌면 일주일 정도 걸릴 것이라고 생각했다.  하지만 결과는 예상과는 달랐다. 첫 번째 무단 로그인은 34분 이내에 발생했다. 헤이스는 <CSO>와의 인터뷰에서 “너무나 빨리 침해됐다는 사실에 놀랐다”라고 말했다.    그리고 24시간 동안 6개의 서로 다른 IP 주소가 허니팟(비정상적 접근을 탐지하는 시스템)에 총 9번 연결됐다. 한 공격자는 봇넷 클라이언트를 설치하려고 했고, 또 다른 공격자는 서버를 사용해 DoS 공격을 하려 했다. 이 밖에 서버에서 민감한 정보를 훔치려고 하거나 주변을 둘러보고 있었던 공격자도 있었다고 그는 덧붙였다.  헤이스의 실험 결과에 따르면 공격자는 개발자가 남긴 민감한 데이터를 찾기 위해 깃허브 및 기타 퍼블릭 코드 저장소를 끊임없이 스캔하고 있는 것으로 확인됐다.  기업들이 온프레미스 소프트웨어에서 클라우드로 전환하고, 많은 개발자가 재택근무를 하게 되면서 사용자 이름, 암호, 구글 키, 개발 도구, 프라이빗 키를 포함한 기밀 데이터의 양은 계속 증가하고 있다.  프랑스의 보안 스타트업 깃가디언(GitGuardian)의 공동 설립자 에릭 푸리에는 올해만 해도 전년 대비 유출된 기밀 데이터가 최소 20% 이상 증가할 것이라고 밝혔다(참고로 깃가디언은 공개 저장소를 스캔하여 공격자가 악용할 수 있는 데이터를 식별하고 있다). 해커가 깃허브에서 기밀을 찾는 법  해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Na...

2021.10.07

공격자의 윈도우 네트워크 접근을 ‘쉽지 않게’ 하는 방법 4가지

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

공격자 보안 랜섬웨어 네트워크 윈도우 네트워크 이중인증 VPN 자격증명 액티브 디렉토리 파워셸 애저 클라우드 로그인 비밀번호 암호

2021.06.24

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

2021.06.24

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13