이 글은 구글 해킹 등의 OSINT 툴로 OpenVPN 취약점 탐지 방법 및 OVPN 파일 유출로 인해 유료 VPN을 무단으로 사용할 수 있는 보안 결함에 대해 다룬다.

OpenVPN에 필수인 OVPN 파일

OVPN 파일은 OpenVPN 프로토콜을 사용하여 VPN을 연결할 때 필요한 설정 파일이다. 파일에는 VPN 서버 주소와 인증을 위해 사용하는 암호 키 등이 포함되어 있어, VPN을 시작하는 데에 매우 중요한 파일이다.

그렇기 때문에 OVPN 파일이 외부에 노출되는 것은 할당 받은 사용자가 아닌 타인이 무단으로 VPN을 사용할 수 있게 되는 OpenVPN 취약점이다.

유료 OpenVPN 취약점 구글 해킹(OSINT)으로 탐지

구글 해킹으로 OpenVPN 취약점을 찾을 수 있다. 구글 검색엔진 검색창에 아래 키워드로 검색하면 이미지와 같은 웹 페이지가 상단에 노출된다.

Index of /servers/openvpn

구글 검색엔진에 "Index of /servers/openvpn" 으로 검색한 OpenVPN 취약점 구글 해킹 결과
구글 검색엔진에 “Index of /servers/openvpn” 으로 검색한 OpenVPN 취약점 구글 해킹 결과

Index of /server/openvpn 이라는 타이틀과 동일한 디스크립션으로 노출된 이 웹 서버의 URL을 살펴 보니, 특정 VPN 회사의 웹 서버로 추측된다.

해당 웹 사이트에 접속하면 OVPN 파일이 나열되어 있는 폴더 리스트가 보여진다. 

구글 해킹으로 탐지한 ovpn 파일 유출 웹페이지
구글 해킹으로 탐지한 OVPN 파일 유출 웹페이지

앞서 설명한 바와 같이 OVPN 파일이 외부에 공개되면 특정 사용자가 아닌 누구나 VPN에 연결할 수 있기 때문에 그 자체로도 매우 심각한 보안 결함이다. 심지어, 해당 VPN 업체와 서비스를 확인해본 결과 유료 VPN을 제공하고 있는 것으로 확인되었다.

구글 해킹(OSINT)으로 탐지한 OpenVPN 취약점 VPN 회사의 라이선스 결제 페이지
구글 해킹(OSINT)으로 탐지한 OpenVPN 취약점 VPN 회사의 라이선스 결제 페이지

사용자가 신용카드 결제를 완료하면 opvn 파일을 다운로드 받고 VPN을 사용할 수 있을 것이다. 하지만 누구나 간단한 구글 검색 만으로도 OVPN 파일 폴더를 볼 수 있는 상태이다. 이 문제는 해당 서버에 대한 권한을 제대로 설정하지 않았기 때문인 것으로 추측된다. 

이 유료 VPN의 OVPN 파일은 구글 해킹 (OSINT) 으로 찾기만 하면 아무런 결제 또는 가입 없이 다운로드 받을 수 있다.

노출된 유료 Open VPN 서버 주소 정보

또 다른 OSINT 툴인 Criminal IP에 Open VPN 취약점으로 노출된 OVPN 파일 VPN 서버 주소 정보를 검색해 보았다.

나열된 OVPN 파일명에 노출되어있는 IP 주소 46.23.72.15 으로 IP 인텔리전스 검색해본 결과, 아래 이미지와 같이 VPN으로 사용되고 있는 IP 주소가 맞는 것으로 확인되었다.

구글 해킹(OSINT)으로 탐지한 OpenVPN 취약점 VPN 회사의 라이선스 결제 페이지
노출된 OVPN 파일의 VPN 서버 주소를 IP 인텔리전스 OSINT 툴로 검색해본 결과. VPN IP로 확인된다
노출된 OVPN 파일의 VPN 서버 주소를 IP 인텔리전스 OSINT 툴로 검색해본 결과. VPN IP로 확인된다
노출된 OVPN 파일의 VPN 서버 주소를 IP 인텔리전스 OSINT 툴로 검색해본 결과. VPN IP로 확인된다

웹서버 노출 취약점, 악용하기 전 점검 필요

VPN 서비스 외에도 이용자에게 유료 결제 후 파일을 다운로드 받을 수 있게 해주는 사이트는 다양하다. P2P 파일 공유 사이트와 동영상 스트리밍 사이트 등의 서비스도 권한 관리 소홀로 인해 내부 서버가 외부에 노출되지 않았는지 점검 해야 한다.

문제의 VPN 업체 서버는 자체 구축한 서버로 보이기는 하나, AWS S3 버킷 등 클라우드 서버를 쓰는 경우에도 마찬가지 문제가 발생할 수 있으니 조심해야 한다.

관련하여 OSINT 툴인 구글 해킹과 Criminal IP를 통해 노출된 보안 취약점을 찾는 방법에 대한 글을 참고하여도 좋다.


데이터 출처 : Criminal IP (https://www.criminalip/io) , Google (https://www.google.com) 

관련 글 :