최근 한국에서는 4년 전 공공기관에 제출한 개인의 신청서가 그동안 인터넷에 공개되어 있어 증명사진, 주민등록번호, 주소, 핸드폰 번호 등의 개인정보가 4년 간 노출되고 있었다는 사실이 확인되었다. 심지어 주민등록등본까지도 확인할 수 있고, 개인정보가 담긴 자료를 PDF로 다운로드도 가능한 상태였다고 한다. 심지어 해당 공공기관이 개인의 중요 정보가 저장 및 유출되고 있었다는 사실을 인식하지 못해 큰 논란이 되었다.

개인정보를 비롯해 기밀 정보가 유출되는 원인 가운데 부정 침입 및 외부 해킹과 보안 관리 소홀은 OSINT 검색엔진과 공격 표면 관리 솔루션으로 예방 가능한 영역이다. 이번 글에서는 OSINT 공격 표면 관리를 통해 외부에서의 악의적인 침입을 방지하고 정보 유출 현황을 상시 모니터링하여 신속한 보안 대응을 수행하는 방법에 대해 알아보고자 한다.

4년간 인터넷에 노출되어 있던 개인정보, PDF 파일로 다운로드도 가능했다
4년간 인터넷에 노출되어 있던 개인정보, PDF 파일로 다운로드도 가능했다

OSINT를 통한 개인 정보 유출 현황과 구글 검색어 파악

해커는 구글 해킹 기법으로 검색엔진에 노출된 개인정보들을 사이버공격에 활용한다. 웹 기반의 구글 해킹과 IP 기반의 Criminal IP를 비교한 글을 보면 구글 검색 연산자(filetype, site, inurl, intitle 등)를 이용해 특정 조건의 결과를 검색하는 방법을 활용하는 것을 알 수 있다. 아래는 디폴트 상태의 아파치 테스트 페이지를 구글해킹 연산자로 검색한 결과 화면이다.

개인정보 유출 : 구글 해킹으로 검색한 디폴트 상태의 아파치 테스트 페이지
구글 해킹으로 검색한 디폴트 상태의 아파치 테스트 페이지

이렇듯 해커들은 얼마든지 구글에서 개인정보가 담긴 내부 사이트, 각종 신청서, 서류들을 검색될 수 있다. 반대로 정보를 관리하는 입장에서도 구글 해킹 기법을 사용하면 유출된 정보들을 찾을 수 있는데, 어떤 정보가 유출된지 파악하지 못한 채 수동으로 찾는 것은 인력과 시간이 매우 소모되는 작업이다.

Criminal IP ASM의 OSINT 기능에서는 구글에 유출되어 있는 기업 및 공공기관의 정보들을 자동으로 탐지해 해당 정보를 검색할 수 있는 구글 검색어를 제공한다. 탐지된 정보들의 타이틀, 내용, 파일타입과 공개 여부를 확인할 수 있어 우선순위에 따라 이력서, 관리자 페이지, 테스트 서버 등 개인정보가 담긴 정보를 신속히 삭제 및 차단할 수 있다.

개인정보 유출 : OSINT 페이지에서 정보 형태와 파일 유형, 키워드 검색으로 필터링한 정보 유출 현황을 파악할 수 있다
OSINT 페이지에서 정보 형태와 파일 유형, 키워드 검색으로 필터링한 정보 유출 현황을 파악할 수 있다

기업의 도메인과 관련 키워드에 대한 정보를 자동으로 탐색하기 때문에 자사에서 공개된 개인 정보 외 타의에 의한 개인정보 유출 현황도 빠르게 파악할 수 있다. 예를 들어, 타 기관에 제출한 직원의 개인정보, 협업했던 기업이 관리하던 페이지에서 공개된 개인정보까지도 탐지할 수 있다.

공격 표면 관리 솔루션을 통한 정보 유출의 잠재 위협 탐지

OSINT 기능으로 현재 유출된 정보를 확인하는 것만큼 정보 유출 가능성이 높은 지점을 사전에 관리하는 것도 중요하다Criminal IP ASM의 리스크 페이지에서는 등록된 IP 대역과 도메인에 의해 매일 자동으로 기업의 IT 자산 정보가 업데이트되어 IT자산의 보안 결함과 데이터 유출 위협을 확인할 수 있다.

개인정보 유출 : Criminal IP ASM 대시보드 화면, 호스팅 정보와 리스크 현황을 한눈에 파악할 수 있다
Criminal IP ASM 대시보드 화면, 호스팅 정보와 리스크 현황을 한눈에 파악할 수 있다

High 리스크로 판별된 내역에는 오픈포트와 취약점을 비롯해 Data leak (데이터 유출), remote access (원격 접근), VPN (가상사설망) 등의 케이스도 포함되어 있다. 리스크 내역들 가운데 정보 유출의 통로로 주로 악용되는 VPN, remote access 등을 운용중인 IP 주소만을 확인하고 싶을 때에는 필터 검색을 통해 결과를 좁힐 수도 있다.

아래 화면은 remote_access 로 필터 검색을 한 내용이다.

개인정보 유출 : "remote_access" 필터 검색으로 파악한 데이터 유출이 탐지된 IP 자산
“remote_access” 필터 검색으로 파악한 데이터 유출이 탐지된 IP 자산

SSH 원격 서버로 이용되는 22번 포트가 탐지된 것을 확인할 수 있고, Criminal IP 상세검색으로 해당 IP를 살펴보면 22번 포트가 열려 있는 것까지 확인할 수 있다. 22번 포트가 외부에 공개되어 있을 경우, 이를 악용한 서버 내부 침입이 발생할 수 있고, 이는 개인정보 유출에도 치명적인 원인이 되기 때문에 해당 포트를 닫음으로써 신속한 보안 대응을 취할 수 있다.

CTI 검색엔진 Criminal IP 상세검색으로 확인한 22번 오픈포트
CTI 검색엔진 Criminal IP 상세검색으로 확인한 22번 오픈포트

이외에도 개인정보가 유출되는 공격 표면은 다양하며, OSINT 공격 표면 관리에서는 개인정보 유출 위협을 매일 자동으로 탐지할 수 있다. 개인정보 관리의 민감도는 높아지는 반면, 부정 액세스나 기업 및 공공기관의 관리 소홀로 개인정보가 유출되는 경로는 다양해진 현재 공격 표면 관리는 필수적이라고 할 수 있다. 보안 관계자와 정보 관리 책임자는 매일 업데이트되는 보안 위협과 유출 현황으로 적은 리소스로 다각도의 관리와 대책을 마련할 수 있다.  

그 외 OSINT 정보의 활용사례는 OSINT 검색엔진을 활용한 사이버 위협 정보 수집 글을 참고해도 좋다.

데이터 출처 : Criminal IP (https://www.criminalip.io/ko)

관련 글 : 

OSINT 검색엔진을 활용한 사이버 위협 정보 수집