Criminal IP (https://www.criminalip.io) 가 수집한 전 세계 IP 주소 데이터에는 연결된 도메인과 Whois 정보, 위치 정보, 취약점과 포트 정보 등 종합적인 CTI 인텔리전스가 포함되어 있습니다. 그 중 포트(Port)란, 주로 소프트웨어에서 네트워크 서비스와 프로세스를 구분하는 단위로 사용되며, 0번부터 65535번까지의 포트 번호로 운용 중인 네트워크 서비스를 구분할 수 있습니다. 특히 0번부터 1023번까지의 포트를 Well-known port 라고 부르는데, 주로 많이 사용되는 서비스와 포트 번호를 매칭시켜 놓은 것 입니다. Criminal IP는 well-known port 뿐만 아니라 registered port, dynamic port 포트까지 스캔하며, 그 중 특정 IP 에 연결된 오픈포트를 탐지하고 포트 상태의 변동 사항과 취약점을 파악합니다.
IP 주소에 연결된 포트 정보 식별
오픈 포트 가운데에는 네트워크 작업이나 서비스 운영과 상관없이 불필요하게 열려 있는 포트들도 포함되어 있습니다. 관리의 사각지대에 놓여 방치된 오픈 포트는 사이버 공격의 주요 침입 통로가 됩니다. 따라서, 실수로 열린 포트가 있지는 않는지, 있다면 언제부터 열려 있었고 어떤 취약점을 가지고 있는지, 즉시 닫아야 하는 포트인지 등의 정보가 필요합니다. 이를 한눈에 파악할 수 있다면 적절한 사전 방어 조치를 효율적으로 취할 수 있기 때문입니다.
Asset Search (https://www.criminalip.io/asset) 에 특정 IP를 검색하면, 검색 결과 중 ‘Current Open Ports’ 란에 탐지 된 오픈 포트 리스트를 확인할 수 있습니다. 오픈 포트 가운데, 취약점이 존재하는 포트들은 대응 조치가 필요한 포트로 분류됩니다.

Criminal IP Asset Search 에서 탐지된 특정 IP의 오픈 포트
탐지 된 포트들의 정보는 아래 이미지와 같이 Current Open Ports의 상세 정보에서 운용 중인 서비스, 제품명, 버전, 서버 상태, 오픈 포트가 탐지 된 일시와 배너 정보까지 종합하여 제공됩니다. 또한, 우측에는 해당 포트에서 발견된 취약점 정보도 함께 확인할 수 있습니다.

탐지 된 오픈포트와 취약점의 상세 정보
포트 취약점으로 침투테스트 및 사이버 공격 표면 탐지
Well-known port의 경우, 각각의 포트로 운용 중인 서비스가 명확한 편이기 때문에 침투테스트나 사이버 공격의 타겟이 되는 특정 포트가 존재합니다. 특히, 위의 스크린샷에서도 발견되었던 22번 포트는 SSH(Secure Shell)을 운용하는 포트로, 서버에 대한 안전한 원격 접근을 보장하는 TCP 포트입니다. 22번 포트는 열려있는 것 만으로 심각한 보안 결함입니다. 거기에 서비스 취약점까지 발견된다면 무차별 대입 공격이 가능하여 심각한 경우 어드민 계정이나 서버 까지 탈취 당할 수 있습니다.
Criminal IP Code Samples (https://www.criminalip.io/developer/sample-code)에서는 유저들이 흥미를 가질 수 있는 주제에 대한 명령어들을 소개하고 있습니다. 이 가운데 Asset Search 에 해당하는 asciinema 영상을 참고하면, IP의 취약점, 오픈 포트, 배너 정보, 호스트 정보 등을 종합적으로 호출할 수 있는 명령어를 확인할 수 있습니다.

Asset Search 에서 사용 가능한 샘플코드 명령어로 탐지 된 오픈 포트
Port 필터 검색 및 Maps 검색을 통한 오픈 포트 정보 시각화
Criminal IP에서는 IP에 연결된 일부 자산으로서 포트 정보를 확인할 수 있는 것 뿐만 아니라, Criminal IP Asset Search 에서 단독으로 “port: 22”로 필터 검색을 할 수도 있습니다. 또는, Maps로의 연관 검색 혹은 Maps 내에서 port:22 를 검색하면, 가시화된 포트의 위치 및 스코어링(Critical, Dangerous, Moderate, Low, Safe)을 포함한 포트 정보와 각 부분의 통계를 열람할 수 있습니다.
- port: 22 검색 결과: https://www.criminalip.io/asset/search?query=port:%2022
- port: 22 Maps 검색 결과: https://www.criminalip.io/intelligence/maps?query=port:%2022

Maps에서 포트 검색 시 나타나는 가시화된 포트 정보와 통계
오픈 포트 취약점 탐지를 비롯한 모든 Criminal IP 데이터는 Criminal IP 계정 등록 (https://www.criminalip.io/register) 후 검색엔진 플랫폼에서 직접 검색 혹은 My Page의 API Key를 발급 받아 빠르게 통합이 가능하며, 대량의 API Call을 필요로 하는 Enterprise 기업 고객을 위한 커스터마이징 및 맞춤 Call 수 제공도 가능합니다.
오픈 포트 취약점 탐지에 대한 CIP Blog의 자세한 분석 내용이 궁금하다면 Criminal IP Asset Search 의 Port filter를 활용해 공격표면에 노출된 복합기 취약점을 탐지하는 글을 참고할 수 있습니다.
더 많은 Criminal IP 활용 사례를 보고 싶다면 Criminal IP 영업팀에 문의 바랍니다.
데이터 제공: Criminal IP (https://www.criminalip.io)
관련 글 :
댓글 남기기