‘공격 표면 관리(ASM, Attack Surface Management)’란 잠재적인 사이버 자산 노출을 예방하기 위해 해커가 침투할 수 있는 기업 및 기관의 ‘공격 표면’을 탐지, 분석하는 활동을 말한다. 앞서 공격 표면 관리를 활용한 취약점 탐지 및 조치: Criminal IP ASM 활용사례 (1) 글에서는 Criminal IP ASM의 활용 방법과 공격 표면 관리로 어떤 문제를 해결할 수 있는지 소개하기 위해 취약점을 가진 IP 주소를 탐지하는 사례를 다룬 바 있다. 이번 User Guide에서는 공격 표면 관리로 내부 사이버 자산 노출을 탐지할 수 있는 방법을 소개한다.
사이버 자산 노출 관리를 위한 OSINT 활용 방법
기업은 내부 자산 관리를 위해 컨플루언스(Confluence)나 지라(Jira)와 같이 외부에 공개하지 않는 협업 툴을 사용하거나, 별도 클라우드로 사내망을 구축하는 경우가 많다. 하지만 이는 어디까지나 인터넷 기반의 서비스인 만큼, 보안 설정을 소홀히 하면 모두가 볼 수 있는 상태로 내부 기밀 정보가 인터넷 상에 공개되기도 한다. 만약 무차별 대입 공격이나 익스플로잇 공격이 들어온다면 사내망으로 해커 등 외부인의 침입이 발생할 수 있다. 이 경우, OSINT 기반의 위협 인텔리전스 검색엔진 Criminal IP로 아래와 같이 내부 사이버 자산 노출 여부를 검색할 수 있다.
Search Query: title: “AWS CloudFormation PHP Sample”
Criminal IP Asset Search에 AWS의 Cloud Formation 시스템을 검색한 화면
Criminal IP Asset Search 검색으로 탐지한 노출된 서버. PHP의 기본 세팅 뿐만 아니라 계정 정보까지 노출되어 있다
사이버 자산 노출의 또 다른 예로 출시/패치가 이루어지지 않은 소프트웨어나 서버의 중요 키(API키, Secret Access Key 등)가 노출되는 상황을 들 수 있다. 실수로 HTTP 요청 헤더 정보에 추가해 둔 키가 외부에 노출되면 크레덴셜의 탈취 뿐만 아니라 외부인에 의해 데이터베이스가 조작될 가능성도 있다. API Key 하나로 발생될 수 있는 개인 정보 유출 그리고 조작 글에서 아마존 클라우드 서비스(AWS)의 대표적인 NoSQL 서버 중 하나인 DynamoDB의 관리 페이지를 검색하는 케이스를 예시로 들 수 있다.