Elastic DB 유출
지난 30일주요 글로벌 산업에서 사이버 위협을 강조하기 위해, WizCase 팀은 지속적인 사이버 보안 연구를 수행하고 있습니다. 최근 연구 일부에서, 저희는 매우 중요하지만 심각하게 간과되고 있는 의료 산업에서 데이터 유출과 온라인 교육에서 데이터 유출을 조사했습니다. 여러 특정 산업을 조사한 후, 저희는 데이터베이스를 운영하고 있는 모든 기업에 영향을 줄 수 있는 일반적인 서버 유출을 분석하는 것이 좋다고 판단했습니다. 지난 10년이 넘는 기간 동안, 100,000개가 넘는 기록을 포함하고 있는 서버에서 300건이 넘는 데이터 유출이 발생했습니다. 100,000개는 엄청난 양의 데이터로 기업과 사용자 모두에게 막대한 피해를 입힐 수 있습니다.
추적한 변수
이 툴은 글로벌 침해의 심각도와 규모를 노출하는 다양한 변수를 추적 및 표시합니다.
-
분석한 기간:
서버 분석을 표시할 기간을 수동으로 입력합니다.
-
스캔한 서버 총 수:
정해진 기간 동안 스캔한 서버의 전체 수입니다.
-
실행한 Elasticsearch 인스턴스의 총 수:
Elasticsearch 데이터베이스를 실행한 스캔한 서버의 수입니다.
-
승인 없이 접근 가능한 서버의 총 수:
보안 승인 없이 접근 가능한 상태로 남겨진 Elasticsearch 데이터베이스의 수입니다.
-
보안 서버의 와해 vs 비보안 서버의 와해:
보안 인증없이 액세스 할 수 있거나 암호가 필요하거나 완전히 차단된 데이터베이스의 비율입니다.
-
서버 크기 비율:
스캔한 Elasticsearch 데이터 베이스 중 1GB 미만, 1~100GB, 100Gb이상 비율입니다.
-
승인 없이 접근 가능한 서버에서 노출된 기록의 총 수:
정해진 기간 동안 보안되지 않은 모든 Elasticsearch 데이터베이스에서 공개적으로 액세스할 수 있는 파일의 수입니다.
-
악의적인 행위자가 승인 없이 접근 가능한 서버의 총 수:
Meow와 같은 공격의 표적이 되어 데이터 도난 또는 삭제가 발생한 안전하지 않은 서버의 수입니다.
데이터 유출 이후 가장 일반적인 위협 (유출된 사람을 대상)
Depending on the type of data stolen during a breach, there are multiple ways in which it can
be used against those who had their data exposed:
-
도난
—신용카드 정보와 같은 정보가 도난당한 경우, 직접적인 경제적 이득을 위해 이용될 수도 있으며, 중요한 개인 정보가 입수된 경우, 신원 도난을 위해 이용될 수 있습니다.
-
협박
—데이터를 공격한 사람은 획득한 정보를 이용해 유출된 당사자를 협박할 수 있으며, 특히 민감한 의료 정보 또는 재무 정보의 경우 이를 이용해 협박할 수 있습니다.
-
계정 침입을 통한 계좌 탈취
—도난당한 정보는 로그인 세부 정보가 동일한 경우 다른 서비스의 계정에 액세스하는데 이용되거나, 유출 당한 제공 업체에 연결된 계정에 액세스하는데 이용될 수 있습니다.
-
피싱/사기
—충분한 개인정보가 수집된 경우, 굉장히 효과적인 피싱 공격 또는 사기를 위해 이용될 수 있습니다. 이러한 피싱 및 사기로 인해 사람들은 신용카드 또는 은행 정보와 같이 더욱 민감한 데이터를 속아 넘길 수 있습니다.
기업의 데이터 유출 비용
Data breaches don’t only affect those whose data was stolen, but also those who were initially entrusted to keep the data safe.
Companies affected by a data breach are likely to suffer from:
-
법적 결과
—많은 비즈니스의 글로벌 특성상, 데이터 유출은 여러 사법구역에서 법적 문제를 의미할 수 있습니다. 그리고 이러한 법적 문제는 기업의 존망을 위협하는 심각한 법적 비용으로 이어질 수 있습니다.
-
평판 손상
—상당한 유출 이후 고객 신뢰 상실이 굉장히 클 가능성이 높습니다. 고객은 기업에 의존해 데이터를 안전하게 지키기 때문에, 기업이 데이터를 안전하게 지키지 못할 경우 비즈니스를 다른 곳으로 이전할 확률이 높습니다. 실제로, 데이터 유출에 따른 비즈니스 손실 평균 비용은 약 140만 달러입니다.
-
도난
—지적 재산에서 금융 정보까지, 도난당한 데이터는 다양한 형태의 상당한 손실로 이어질 수 있습니다.
-
벌금
—데이터 보호 규정을 준수하지 못하면 벌금이라는 형태의 보다 직접적인 비용이 발생합니다. 예를 들어, 2017년 Equifax 데이터 유출로 미국 연방 거래 위원회는 회사에 최대 7억 달러의 벌금을 부과했습니다.
역사상 가장 큰 데이터 유출 사건 5개
역사상 현재 가장 큰 데이터 유출은 현존하는 가장 크고 신뢰받는 기업에 영향을 미쳤습니다. 2018년까지 온라인 사용자 3분의 2가 기록을 도난 또는 침해당한 것은 놀라운 일이 아닙니다.
영향을 받은 모든 상위 기업이 미국 기업으로, 데이터 유출의 평균 비용이 전 세계 820만 달러보다 훨씬 더 높다는 점은 주목할 만합니다.
-
야후 – 2013년 해킹 당할 때, 30억 건(당시 서비스에 존재한 모든 계정)이라는 어마어마한 양의 기록을 도난당했습니다. 여기에는 이름, 이메일 주소 및 비밀번호가 포함되어 있습니다. 야후는 2014년 다시 해킹을 당했고, 5억 건의 기록을 훔쳐갔습니다.
-
퍼스트 아메리칸 – 보험 및 결제 서비스 제공 업체 퍼스트 아메리칸은 사회 보장 번호, 운전 면허증 등을 포함하여 열악한 보안으로 인해 8억 8,500만 개의 기록이 노출되었습니다.
-
페이스북 – 열악한 보안으로 인해 2019년 계정 이름, 댓글 정보, 포스트 반응, 친구, 사진, 체크인, 비밀번호를 포함한 22,000 사용자의 기록이 유출되었습니다.
-
메리어트 인터내셔널 – 호텔 체인 메리어트 인터내셔널은 2018년 중국 그룹의 해킹으로 5억 건의 기록을 잃었습니다. 여기에는 이름, 여권 정보, 이메일, 핸드폰 번호, 주소 등이 포함되어 있습니다.
-
프렌드 파인더 네트웍스 – 2016년 공격으로 인해 4억 1천만 개가 넘는 기록이 도난당했습니다. 어떤 상세한 개인 정보도 공개되지 않았지만, 여전히 사이트 회원은 확인이 가능합니다.
팁: 데이터 유출로부터 보호하는 방법
There are a few things you can do to ensure that the impact of a data breach on you
personally remains as small as possible:
모든 계정에 고유한 로그인 정보 보유
여러 계정에서 같은 비밀번호를 다시 이용할 경우, 한 계정의 데이터 유출이 한 번에 여러 계정의 유출로 이어질 수 있습니다. 신뢰할 수 있는 암호 관리자를 사용해 모든 서비스에 강력하고 고유한 비밀번호를 사용하세요.
이중 인증(2FA) 사용
유출로 인해 로그인 정보가 도난당했으나, 2FA가 활성화되어 있으면, 공격한 사람이 추가 코드 없이 사용자의 계정에 액세스하는 것은 거의 불가능합니다.
신원 모니터링 툴 설치
신원 모니터링 툴은 도난당한 데이터가 웹사이트나 대출 신청, 소셜 미디어 포스트, 유틸리티 주문 등에 나타날 때 이를 알려줍니다. 이러한 방법으로 데이터의 일부가 도난당한 것을 인지한 즉시 대처할 수 있습니다.
FAQ: 데이터 유출 추적과 Elasticsearch
데이터 유출 추적은 웹에서 얼마나 많은 웹사이트를 스캔하나요?
초기에는 100%였지만, 저희는 0.06%까지 좁혔습니다. 일주일에 한 번, 전체 인터넷을 검색하여 Elasticsearch를 실행할 가능성이 있는 IP 주소 (총 약 250,000개)를 검색합니다. 이러한 방법으로 전체 웹을 관련 0.06 %로 좁혀, 정기적으로 스캔해 가능한 최신 상태를 유지합니다.
데이터 유출 추적을 무엇에 이용할 수 있나요?
데이터 유출 추적은 글로벌 서버 취약성을 평가하고 전 세계 데이터베이스 보안 개선 방법을 분석할 수 있는 환상적인 방법입니다. 취약한 데이터베이스 수가 엄청나게 많다는 점을 고려할 때, 이 데이터베이스가 기업 및 보안되지 않은 서버에 중요한 데이터를 보관하는 모든 사용자에게 경종을 울리는 역할을 할 수 있기를 바랍니다. 전 세계적 데이터 유출로 인한 평균 비용이 400만 달러 정도 된다는 것을 감안할 때, 기업이 가능한 빨리 취약한 데이터 베이스를 보호하는 것은 매우 중요합니다.
Elasticsearch는 무엇인가요?
Elasticsearch는 서로 다른 유형의 데이터를 분류 및 검색하는데 이용되는 데이터베이스 엔진입니다. 애플리케이션 검색, 로깅 분석, 성능 모니터링, 보안 분석을 포함한 많은 곳에 이용할 수 있습니다. Elasticsearch의 속도와 밀리초 만에 방대한 양의 데이터를 검색할 수 있는 능력을 사용자들은 특히 선호합니다. Elasticsearch는 전 세계에서 가장 인기 있는 데이터 베이스 엔진 중 하나로 뽑혔습니다.
Meow 공격은 무엇인가요?
Meow 사이버 공격은 다른 많은 공격들과 달리 어떠한 이득도 추구하지 않는 특히 파괴적인 종류의 공격입니다. Meow 공격은 보안되지 않은 데이터베이스를 찾아 모든 콘텐츠를 지우고, 영향을 받은 모든 데이터 베이스에 숨길 수 없는 “Meow” 표시를 남깁니다. Meow 공격은 Elasticsearch 데이터베이스뿐만 아니라 MongoDB, Cassandra, Hadoop 등 다수에 영향을 끼칩니다.
어떤 종류의 사이버 공격이 서버를 타깃으로 하나요?
위에 언급된 Meow를 제외하고, 서버를 타깃으로 하는 많은 유형의 공격들이 있습니다.
- DoS(Denial of Service) 공격 – 공격자는 처리할 수 있는 것보다 더 많은 트래픽을 서버에 보내 프로세스에서 서버가 일시적으로 오프라인 상태가 됩니다.
- 브루트 포스 공격 – 거대한 수의 비밀번호를 빠르게 추측해 이 공격은 상승된 서버 권한으로 계정에 대한 액세스 권한을 얻으려고 시도합니다.
- 디렉토리 접근 – 이 취약성은 공격자가 잠재적으로 커맨드를 실행할 수 있고 민감한 정보를 위치시킬 수 있는 웹 디렉토리를 넘어 이동할 수 있게 합니다.
- 홈페이지 변조 – 공격자는 악성이거나 관계없는 데이터를 데이터베이스에 심어 합법적인 사용자가 이 데이터를 불러올 때, 공격의 “훼손된” 결과를 보게 됩니다.
인터넷에 노출되어 있는 다른 종류의 데이터 베이스는 무엇인가요?
거의 모든 데이터 베이스가 보안되지 않은 채 인터넷에서 공격에 노출되어 있을 수 있습니다. 하지만, 공격에 자주 노출되는 일부에는 MongoDB, Cassandra, Hadoop 및 Jenkins가 포함되어 있습니다.
보안이 취약한 데이터베이스는 어떻게 개선할 수 있나요?
Elasticsearch는 사용자 인증을 위한 다수의 내장 메커니즘을 보유하고 있습니다. 그러므로 유효한 사용자만이 로그인하고 서버의 데이터를 볼 수 있습니다. 하지만, 이것만으로는 충분하지 않습니다. 사용자는 관련 권한이 주어져야만 볼 수 있는 자격이 주어진 데이터를 볼 수 있기 때문입니다. Elasticsearch에서, 이를 “역할 기반 액세스 컨트롤 메커니즘(RBAC)”라고 합니다. 본질적으로, 모든 사용자에게 데이터 보안 강화를 위한 역할과 관련 권한이 부여됩니다.
물론, 보안은 이보다 훨씬 더 깊지만, 고급 인증 설정이 적용되면, 많은 서버가 그전에 훨씬 더 안전해질 것입니다.
데이터 유출 추적은 어떻게 작동하나요?
자사의 데이터 유출 추적은 매주 웹을 스캔해 잠재적으로 유출될 수 있는 (혹은 이미 유출이 된) 보안되지 않은 Elasticsearch 데이터베이스를 찾아냅니다. 그리고 이 데이터를 저장해 다양한 변수가 있는 상세한 그래프의 형태로 이를 이용할 수 있게 합니다. 그렇게 해서 사용자는 원하는 정확한 기간 및 날짜를 분석할 수 있습니다.
