[PASCON 2024-영상] 윤영 익스웨어랩스 대표, OSINT 활용한 공공기관 공급망 위협 정보 공개

“OSINT 활용해 잠재적인 위협 사전에 발견하고 대응해야”

데일리시큐가 주최하고 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 하반기 최대 사이버보안 컨퍼런스 및 전시회인 PASCON 2024가 9월 10일 1,200여 명의 공공, 금융, 기업 정보보호 실무자들이 참석한 가운데 성황리 개최됐다.

이날 강연에서 윤영 익스웨어랩스 대표는 'OSINT를 활용한 공공기관 공급망 위협정보'를 주제로 강연을 진행해 큰 관심을 끌었다. 윤 대표는 다년간의 경험과 사례를 바탕으로 OSINT(공개 출처 정보)를 활용한 공급망 위협 정보 수집과 탐지 방법에 대해 상세하게 설명했다.

윤 대표는 최근 사이버 공급망을 통한 정보 유출이 기업의 주요 보안 이슈로 대두되고 있음을 강조했다. 공급망 위협은 주로 보안이 취약한 협력업체 시스템에서 발생하며, 정보 유출의 근본 원인으로 작용하고 있다. 특히 국방부와 관련된 민감 정보가 유출된 IntelBroker 사건을 예로 들며, 공급망을 통한 정보 유출의 심각성을 강조했다.

OSINT는 인터넷을 통해 공개된 정보들을 활용하여 위협 정보를 수집하는 방법론으로 주목받고 있다. 윤 대표는 OSINT를 활용한 공급망 위협 탐색이 어떻게 이루어지는지 다양한 사례를 통해 구체적으로 설명했다. 다음은 그가 강연에서 소개한 사례들이다.

▶개인정보 유출-디렉터리 리스팅 취약 사이트

윤 대표는 디렉터리 리스팅 취약점을 이용한 사례를 소개하며, 주차관리시스템의 차량번호 인식기 시스템(LPM)에서 차량번호 등 민감한 개인정보가 유출된 상황을 설명했다. 이러한 취약점은 공격자가 차량 번호와 같은 민감한 정보를 쉽게 수집할 수 있게 해주며, 실제로 발생한 사례를 통해 공급망의 취약성을 강조했다.

▶환경변수(.env) 파일의 노출

환경변수(.env) 파일에는 데이터베이스 계정 정보와 패스워드 등 중요한 정보가 포함되어 있다. 윤 대표는 이러한 파일이 디렉터리 리스팅을 통해 노출된 사례를 발표하며, 이러한 정보가 공격자에게 노출될 경우 기업의 내부 시스템에 무단으로 접근할 수 있는 심각한 문제가 발생할 수 있음을 경고했다.

▶소스코드 저장소(.git) 노출 문제

소스코드 저장소(.git) 파일이 웹 경로를 통해 외부에 노출된 사례를 언급하며, 이러한 파일에는 원격 소스코드 저장소에 대한 중요한 정보가 담겨 있어 공격자에게 기업의 핵심 소스코드가 유출될 수 있는 위험이 있다고 설명했다. 이는 기업의 개발 환경에 치명적인 영향을 미칠 수 있는 요소로 지적됐다.

▶SSH 접속계정 정보 탈취

웹 경로에서 .vscode/sftp.json 파일이 노출된 사례를 통해 SSH 접속 계정 정보가 공격자에게 탈취될 수 있는 위험성을 제시했다. 이로 인해 기업 내부 시스템에 대한 원격 접속이 가능해지며, 심각한 보안 침해로 이어질 수 있다고 강조했다.

▶국내 보안솔루션 소프트웨어 공급망 위협 정보 노출

국내 보안솔루션 업체의 소프트웨어 공급망에서 오픈소스 데이터베이스(Elastic Search)가 노출된 사례를 통해 개발 시스템에서 발생할 수 있는 위험에 대해 설명했다. 이는 기업의 중요한 데이터가 노출될 수 있는 잠재적인 위협을 보여준다.

▶IP 정보수집 도구를 통한 개발 시스템 정보 검색

IP 정보수집 도구인 Censys를 활용해 행정기관명이 포함된 HTML Title로 검색하는 방법을 소개하며, 이를 통해 개발 시스템 정보가 노출될 수 있음을 시연했다. 이는 공급망의 취약점을 악용해 정보를 수집하는 대표적인 방법으로 설명되었다.

▶공공기관의 디지털 트윈 기술을 활용한 개발 사이트

공공기관의 '디지털 트윈' 기술을 활용한 개발 사이트가 검색을 통해 노출된 사례를 통해, 디지털 트윈을 활용한 시스템도 정보 유출의 대상이 될 수 있음을 경고했다.

▶ARS 솔루션 업체의 개발서버 노출 위협

ARS 솔루션 업체의 개발 서버에서 민감한 서버 처리 파일이 노출되는 사례를 제시했다. 이는 개발 환경에서 발생할 수 있는 최악의 케이스로, 개발 서버에서의 민감 정보가 유출될 경우 공격자에게 심각한 보안 위협을 초래할 수 있다고 강조했다.

▶웹 개발 퍼블리싱 사이트 정보 검색

웹 퍼블리싱 사이트와 디렉터리 리스팅을 통해 기업의 정보가 탐색되는 사례를 언급하며, 웹 개발 과정에서의 정보 노출이 얼마나 쉽게 발생할 수 있는지 경고했다.

▶개발 프로젝트 관리 시스템의 파비콘(favicon)을 활용한 검색

프로젝트 관리 시스템의 파비콘(favicon)을 활용해 해당 시스템을 찾는 방법을 소개하며, 이를 통해 민감한 프로젝트 관리 정보가 외부에 노출될 수 있는 위험성을 보여줬다.

▶외부 유지보수 협력업체 서버를 통한 서버 민감 정보 노출

한국중앙박물관 개발 시스템에서 외부 유지보수 협력업체의 서버를 통해 민감한 서버 접속 계정 정보가 노출된 사례를 통해 외부 협력업체 관리의 중요성을 강조했다. 이는 협력업체의 보안 취약점이 전체 시스템 보안에 영향을 미칠 수 있음을 보여준다.

▶행정기관 주민센터 서버 계정 및 패스워드 정보 노출

전산시스템 운영 유지보수 업체를 통해 행정기관 주민센터 서버의 계정 및 패스워드 정보가 노출된 사례를 제시하며, 외부 업체 관리가 얼마나 중요한지에 대한 경각심을 불러일으켰다.

▶유지보수 협력업체 서버에서 VPN 계정 정보 노출

유지보수 업체에서 운영하는 서버에서 IDC 접속용 OpenVPN 계정 정보가 노출된 사례를 통해, VPN을 통한 보안 침해의 위험성을 강조했다.

윤영 대표는 “공공기관과 기업의 민감한 정보가 유출되는 위험을 막기 위해서는 지속적인 모니터링과 보안 점검이 필수적”이라며 “OSINT를 활용해 잠재적인 위협을 사전에 발견하고 대응하는 것이 현대 보안 환경에서 점점 더 중요해지고 있으며, 각 기관과 기업의 보안 의식을 강화하는 것이 무엇보다도 필요하다”고 전했다.

보다 상세한 내용은 아래 강연영상을 참고하면 되고 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.