Default Password 는 장비 혹은 OS등에 기본으로 설정된 비밀번호를 의미한다. 이러한 기본 패스워드는 인터넷이나 매뉴얼 문서를 통해 공개되어 있을 가능성이 높아 초기 세팅 시 보안을 위해 계정 정보를 변경해야 한다. 기본 패스워드의 변경 없이 사용할 경우 기본 패스워드를 알고 있는 누구든지 로그인할 수 있게 되어 잠재적 사이버 공격에 매우 취약해지기 때문이다. 심지어는 주요 기밀을 탈취하는 등 해킹 및 크래킹의 위협이 발생할 수 있다. 이렇듯 디폴트 패스워드 변경은 사이버 보안에서 기본적이지만 중요한 안건이다. 내부 관리자 페이지나 시스템에서만 공유되어야 하는 기본 패스워드가 외부로 노출되는 경우, 이를 악용한 사이버 공격이 진행될 수 있다.
Criminal IP 의 키워드 검색과 title 필터 검색으로 외부에 노출된 기본 패스워드를 찾아 보았다.
[Criminal IP Search 101- OSINT 검색엔진으로 기본 비밀번호를 찾아내는 방법]
Default Password 키워드 검색을 통한 IP 주소 조회
Criminal IP Asset Search에서 “Default Password” 를 검색하면 총 221,921 건의 검색 결과가 나온다. 검색 결과에는 일반 로그인 페이지부터 게이트웨이 장비 회사 페이지, 소프트웨어 관리자 페이지 등에서 사용되는 IP 주소와 배너 정보가 포함되어 있다.
Criminal IP의 “Default Password” 검색 결과
title 필터 검색을 통한 Default Password 조회
여기에 title 필터를 추가해 “Default Password” title:admin 으로 검색하면 기본 패스워드를 알려주는 매뉴얼 페이지를 검색할 수 있다.
Criminal IP의 “Default Password” title:admin 검색 결과
조회된 IP 주소 중 한 페이지를 접속해보면 관리자 계정의 ID와 비밀번호가 노출되어있는 것을 볼 수 있다. 해당 사이트의 운영자가 계정 정보를 변경하지 않을 시 공격자가 해당 계정을 탈취해 페이지에 접속하지 못하도록 웹사이트를 장악하거나 시스템 전체를 공격할 수도 있다.
디폴트 패스워드가 노출된 관리자 페이지
또 다른 IP 주소에는 유저네임과 패스워드가 고지된 매뉴얼 페이지가 노출되어 있다.
Default Password를 고지하고 있는 관리자 페이지 매뉴얼
같은 방식으로 title:system, title:monitoring 등의 필터와 조합하여 검색할 수 있다. 기본 비밀번호의 정보를 보유한 사이트 중 웹사이트 타이틀에 입력한 키워드가 포함된 정보만 조회할 수 있다.
아래의 스크린샷은 “Default Password” title:system 으로 검색하여 찾은 한 로그인 페이지에서 Need Help? 라는 버튼을 클릭한 화면이다. 매뉴얼 본문에서 기본 계정 정보를 안내하고 있다.
Default Password를 고지하고 있는 로그인 매뉴얼 페이지
또한, 실제 사이트에 접속하지 않고도 배너정보를 통해 디폴트 패스워드를 알 수도 있다. 아래 스크린샷은 디폴트 패스워드가 노출된 로그인 페이지의 배너정보 일부이다.
IP 주소의 배너정보를 통해 알 수 있는 디폴트 패스워드
위와 같이 기본 패스워드는 장비 및 웹사이트의 초기 액세스를 위해 웹사이트에 공개된 경우가 많다. 혹은 공개되지 않은 정보임에도 쉬운 암호로 이루어져 있어 간단한 공격에도 계정 정보가 노출된다. 기본 패스워드를 통해 공격자가 내부망에 접근할 수 있기 때문에 기본 계정 정보는 사용 즉시 변경해야 한다. 또한 기본 패스워드를 안내하는 매뉴얼 페이지가 외부에 노출되어 있는지 정기적으로 점검해야 한다.
데이터 출처: Criminal IP
댓글 남기기