OSINT(Open Source Intelligence, 공개출처정보)란, 공개된 출처에서 수집, 분석한 지능 정보를 의미합니다. 인터넷은 그 자체로 거대한 빅데이터 플랫폼이자, 집단 지성으로 이루어진 공간입니다. 언론미디어, 구글 등 검색엔진, 블로그, 소셜미디어 등 인터넷 정보의 대부분은 누구에게나 공개되어있어 쉽게 정보를 습득할 수 있습니다. 공개된 정보는 누구나 볼 수 있지만, 누구에게나 보여져도 되는 것은 아닙니다. 어떤 정보들은 개인정보, 국가 안보, 기업 기밀 자료 등 공개되어서는 안되는 민감한 데이터를 포함하고 있습니다.

OSINT는 그 활용 목적에 따라 다양하게 쓰일 수 있으며, 특히 사이버 보안 분야에서는 계속해서 필요성이 대두 되고 있습니다. 이 글에서는 OSINT를 사이버 보안에 활용하여 잠재 위협을 대응할 수 있는 방법에 대해 설명합니다. 

사이버 보안에서의 OSINT 활용

사이버 보안에서 OSINT는 이미 발생한 보안 사고에 대한 분석 뿐만 아니라, 잠재적인 보안 위협까지 예측할 수 있을 정도로 강력합니다. 잠재된 보안 위협을 예측할 수 있는 OSINT 기반의 정보를 흔히 ‘사이버 위협 정보(Cyber Threat Intelligence)’ 라고 합니다. 사이버 위협 정보의 수집 대상은 ‘표면웹(Surface Web)’,  ‘다크웹(Dark Web)’ 까지 모든 인터넷을 대상으로 합니다. 일반적으로 해킹, 사이버 공격에 관련된 정보는 주로 다크웹에서 발견될 것이라 생각할 수 있지만, 오히려 대부분의 사이버 위협 정보는 표면웹(Surface Web)을 통해 수집된 정보들 입니다.

표면 웹(Surface Web)을 표현한 이미지. 사이버보안의 OSINT 정보는 대부분 표면 웹에서 수집된다
 표면 웹(Surface Web)을 표현한 이미지. 사이버보안의 OSINT 정보는 대부분 표면 웹에서 수집 된다

OSINT로 수집할 수 있는 사이버 위협 정보

  • 국가 안보 / 방산 관련 정보
  • CVE에 취약한 장비
  • 개인 정보 / 데이터 유출(Leak)
  • 인프라 시스템 정보
  • 악성코드 C2 서버
  • 사이버 범죄 및 다크웹 정보

이미 발생한 보안 사고는 다크웹을 통해 해커들 사이에서 공유되고 거래 되는 것이 대부분이지만, 잠재 위협은 오히려 표면 웹에서 발생합니다. 구글, 빙, 네이버와 같은 검색엔진에 노출된 민감 정보, 또는 IP 주소, 도메인 주소를 통해 알 수 있는 정보들이 실제 해커들이 공격을 위해 수집하는 정보들이기 때문입니다. 해커는 방대한 인터넷을 계속해서 스캔하며 공격 가능한 표면을 찾아냅니다. 노출되면 안되는 민감한 정보가 담긴 웹페이지가 검색엔진에 노출되어 있거나, 기업 및 기관의 IP 주소 에서 운영되는 서버 등 어플리케이션, 도메인에 심각한 취약점이 있는 경우가 바로 해커들이 찾아내고 싶어하는 위협 정보입니다. 

때문에, 해커의 타겟이 되기 전에 미리 OSINT 를 통해 사이버 위협 정보를 확인하고, 공격 가능한 표면을 제거하는 것이 최근 사이버 보안에서 계속해서 강조되는 것입니다.

사이버 위협 정보로 할 수 있는 것

IP 주소와 도메인 정보에는 수 많은 위협 정보가 포함되어있습니다. IP 주소 인텔리전스를 활용하면 보유한 IP 주소, 도메인의 취약한 부분을 찾아낼 수도 있고, 반대로 공격으로 의심되는 IP 주소, 악성 도메인을 감지하여 예방할 수도 있습니다.

  • IP 주소 / Port 정보 : 악의적인 IP 주소 혹은 Port, 악성코드 배포 에 사용된 IP 주소, 우회용 IP 주소(VPN, Tor 등)
  • 도메인(Domain) 정보 : 피싱 도메인, 사이버 범죄용 보이스피싱, 스미싱 도메인
  • SSL 인증서 : 자체 서명한 악성 SSL 인증서, 도난 및 도용된 SSL 인증서

1. IP 주소 / Port 정보를 통한 공격자 식별

IP 주소는 사이버 범죄를 추적하는 데에 가장 중요한 필수 정보이다
IP 주소는 사이버 범죄를 추적하는 데에 가장 중요한 필수 정보이다

IP 주소 정보는 공격자를 식별할 수 있는 요소로 활용될 수 있습니다. 악성코드를 배포하기 위해 만들어진 사이트는 대부분 호스팅된 IP를 이용하거나, 정상적인 국가 IP가 아닌 해외 IP 주소를 사용합니다. 때문에, IP 주소 정보 중 ASN(Autonomous System Number, 망식별번호)를 통해 사이버 공격자가 선호하는 웹 호스팅 서비스를 식별할 수 있습니다.

IP 주소의 Port 정보에서도 엄청난 사이버 위협 정보를 수집할 수 있습니다. 예를 들어, 일반적으로 사용되는 웹 서비스 Port인 80/HTTP, 443/HTTPS 또는 기업에서 사용되는 8080, 8443 Port가 아닌 잘 알려지지 않은 큰 숫자의 Port는 대개 악의적인 목적으로 활용됩니다. 

2. 도메인 주소 정보를 통한 위협 탐지

도메인 주소 정보를 통해 해커에 의해 악의적으로 생성된 도메인을 추적할 수 있다
도메인 주소 정보를 통해 해커에 의해 악의적으로 생성된 도메인을 추적할 수 있다

도메인 정보에도 많은 위협 정보가 담겨져 있습니다. 도메인 호스팅 정보에서는 피싱사이트, C2서버, 악성코드 서버를 유추할 수 있습니다. 특히, 피싱 공격 등에 주로 악용되는 무료 국가 최상위 도메인(.cf, .to, .tk, .pw, .ga)은 악성 도메인일 가능성이 매우 높습니다.
악성 도메인들은 대부분 IP 주소를 숨기기 위해 클라우드플레어 CDN 등 서버 IP를 감추는 기법을 사용하기도 합니다. 또는 특정한 HTTP 패턴(Content-Leng :0) 이나 RTLO URL Trick1)을 사용하기도 합니다.

1) RTLO(Right to Left Override) : RTLO는 오른쪽에서 왼쪽으로 오버라이드 하는 유니코드(아랍 문자코드)를 이용함. 만약 URL 경로상에 ‘gepj.xyz’ 파일명은 RTLO를 적용하면 ‘zyx.jpeg’ 파일로 인식됨

3. SSL 인증서 분석으로 위협 탐지

SSL 인증서 정보를 통해 해커에 의해 악의적으로 생성된 웹사이트를 추적할 수 있다

SSL인증서란,  웹사이트와 브라우저 간 전송되는 데이터를 암호화하여 사용자의 인터넷 연결을 안전하게 보호하기 위한 기술입니다. 해커에 의해 악의적인 목적으로 만들어진 웹사이트는 정상적인 SSL 인증서가 아닌 경우가 대부분입니다.
인증서의 서명 소유자 정보를 통해 발급자(Issuer, Common Name) 및 Subject Name, Subject Fields 를 확인해 비공인 사설 인증서인지, 자체 발급한 인증서인지 판별할 수 있습니다. 또는, 도난/도용당한 SSL 인증서를 활용해 랜섬웨어 및 악성코드를 합법적인 프로그램으로 가장하려는 공격 역시 탐지할 수 있습니다. 그 외에도 TLS 프로토콜 핑거프린팅 프로파일링(JARM, JA3)으로 명령제어(C2) 서버를 탐지할 수도 있습니다.

OSINT 검색엔진 Criminal IP로 찾아낸 악성코드 위협 정보

사이버 위협 정보 수집을 위해 OSINT 검색엔진을 이용할 수 있습니다. Criminal IP 검색엔진은 IP 주소, 도메인, SSL 인증서 등 다양한 사이버 위협 정보를 제공하는 검색엔진 입니다.

다음은 실제로 Criminal IP OSINT 검색엔진을 활용해 악성코드 위협 정보를 탐지한 사례입니다.

OSINT 검색엔진의 IP 주소 정보를 활용한 멀웨어 탐지

OSINT 검색엔진 Criminal IP로 탐지한 멀웨어 '그랜드 미샤'
OSINT 검색엔진 Criminal IP로 탐지한 멀웨어 ‘그랜드 미샤’
OSINT 검색엔진 Criminal IP로 탐지한 정보 탈취 멀웨어
OSINT 검색엔진 Criminal IP로 탐지한 정보 탈취 멀웨어
OSINT 검색엔진 Criminal IP로 탐지한 타이탄 스틸러 악성코드
OSINT 검색엔진 Criminal IP로 탐지한 타이탄 스틸러 악성코드
OSINT 검색엔진 Criminal IP로 탐지한 코발트 스트라이크 비콘 악성코드
OSINT 검색엔진 Criminal IP로 탐지한 코발트 스트라이크 비콘 악성코드

OSINT 검색엔진의 IP 주소 정보를 활용한 Crypto Bot 검색

HTML Body 본문에 포함된 'deepMiner.Anonymous' 키워드로 검색한 코인 채굴 악성코드
HTML Body 본문에 포함된 ‘deepMiner.Anonymous’ 키워드로 검색한 코인 채굴 악성코드
OSINT 검색엔진 Criminal IP으로 HTML Body 본문에 포함된 'CoinHive' 키워드를 검색한 결과
OSINT 검색엔진 Criminal IP으로 HTML Body 본문에 포함된 ‘CoinHive’ 키워드를 검색한 결과

OSINT 검색엔진 Criminal IP로 찾아낸 CVE 취약점 정보

악성코드 외에도 Criminal IP 검색엔진으로는 해커의 공격이 발생할 수 있는 심각한 CVE 취약점 정보를 보유한 서버를 찾을 수 있습니다.
아래는 Criminal IP 를 활용해 CVE 취약점을 보유한 서버를 찾은 사례입니다.

원격 인증우회 취약점(CVE-2022-27510 & CVE-2022-27518)을 보유한 Citrix ADC / Gateway 장비 검색 결과
원격 인증우회 취약점(CVE-2022-27510 & CVE-2022-27518)을 보유한 Citrix ADC / Gateway 장비 검색 결과

https://www.criminalip.io/ko/asset/search?query=%22Citrix+Gateway%22+%22c1b64cea1b80e973580a73b787828daf%22

JS 해시값이 취약한 Citrix 관리자 웹 페이지를 검색한 결과
JS 해시값이 취약한 Citrix 관리자 웹 페이지를 검색한 결과
원격 인증우회 취약점(CVE-2022-40684)을 보유한 포티넷 UTM 장비 검색 결과
원격 인증우회 취약점(CVE-2022-40684)을 보유한 포티넷 UTM 장비 검색 결과

https://www.criminalip.io/ko/asset/search?query=%22099f1f4fbc3320c6f8260568de9e1815%22

HTTP ETag 헤더정보를 이용해 취약한 포티넷 UTM 장비를 검색한 결과
HTTP ETag 헤더정보를 이용해 취약한 포티넷 UTM 장비를 검색한 결과

위에 소개된 사례들 외에도, Criminal IP의 OSINT, 사이버 위협 인텔리전스를 활용하는 방법은 무수히 많습니다. 지금 바로 Criminal IP의 Tag와 Filter 검색 및 API를 사용하여 사이버 보안 OSINT 정보 수집을 시작할 수 있습니다.

Criminal IP 데이터를 공격 표면 관리 솔루션으로 활용하는 방법에 대한 글도 참고할 수 있습니다.

출처 : Criminal IP (https://www.criminalip.io/ko)

관련 글 :

공격 표면 관리: 알려지지 않은 자산 및 취약점 모니터링