문의하기
블로그

OSINT 위협 인텔리전스를 활용한 내부 관리 시스템 노출 예방법

최근 한 한국의 식당 체인 브랜드의 내부 관리 시스템이 Criminal IP에서 발견되었다. 이번 글에서는 OSINT 기반 위협 인텔리전스 툴을 활용해 내부 관리 시스템 및 CCTV의 노출 여부를 확인하고 예방하는 방법을 소개하려고 한다.

2024. 09. 13.

최근 한 한국의 식당 체인의 내부 관리 시스템이 Criminal IP를 통해 노출된 사실이 확인되었다. 내부에서만 접근 가능해야 하는 관리 시스템이 외부에 노출된 상황으로, 이는 해커들이 쉽게 내부 시스템에 접근할 수 있음을 의미한다. 이번 글에서는 OSINT 기반 위협 인텔리전스 툴을 활용해 내부 관리 시스템 및 CCTV의 노출 여부를 확인하고 예방하는 방법을 소개하려고 한다.

위협 인텔리전스 툴로 내부 관리 시스템 노출 여부 확인하기

내부 관리 시스템(ERP, CRM 등)은 기업의 중요한 데이터를 관리하고 업무를 최적화하는 데 핵심적인 역할을 한다. 그러나, 개인정보 및 기업의 민감한 데이터를 다루는 만큼 내부 시스템은 해커들의 주요 타겟이 되고 있으며, 이러한 시스템이 외부에 노출되면 해커들은 이를 통해 중요한 정보를 탈취하거나, 시스템을 악용해 악성 프로그램을 설치할 수 있다. 이번에 발견된 내부 관리 시스템에도 매출정보와 고객 방문 현황, 판매 현황, 그외 민감한 정보들이 다수 포함되어 있었다.

외부에 노출된 식당 브랜드의 내부 관리 시스템
외부에 노출된 식당 브랜드의 내부 관리 시스템

그렇다면 왜 해당 관리 시스템이 외부에 노출되었는지 확인해보며 위협 인텔리전스 툴로 내부 관리 시스템의 노출 여부를 확인하는 쿼리를 소개해 보고자 한다. Criminal IP에서 해당 시스템의 IP 주소를 검색해보니, PLC 태그가 할당된 12000번 포트가 열려있는 것을 확인할 수 있었다. PLC 태그는 ON/OFF 스위치, 온도, 위치, 시퀀싱(순서), 연산 등의 논리 작업을 프로그래밍(자동화) 할 수 있는 제어 소프트웨어에 할당된 태그로, 노출된 시스템이 자동화된 관리 시스템이었기 때문에 Criminal IP에서 PLC 로 분류한 것이다. 또한 시스템 페이지의 타이틀이 ‘~ Management System’ 형식으로 설정되어 있었다.

PLC 태그가 할당된 포트가 외부에 열려 있는 관리 시스템
PLC 태그가 할당된 포트가 외부에 열려 있는 관리 시스템

위의 탐지 결과를 보면, 결과적으로 관리 시스템을 운영하는 포트가 열려있기 때문에 외부 접근이 가능해진 것이다. 이럴 경우 즉시 포트를 닫아 외부 접근을 차단해야 하지만, 발견된 지 한 달이 지난 현재도 해당 서비스의 포트는 열려있는 것을 확인할 수 있었다. 이번 사례를 통해 노출된 내부 관리 시스템을 특정할 수 있는 쿼리를 알 수 있다.

tag: “PLC” title: Management System

tag: “PLC” 와 title: Management System 를 각각 검색할 수도 있지만, 위 사례와 같은 시스템의 노출 여부를 확인하기 위해 검색 범위를 좁힐 수 있다. title 필터만 사용했을 때는 총 228,549개의 탐지 결과가 나왔고, tag: “PLC” 를 검색하면, 6만 개 이상의 노출된 IP 주소가 탐지된다. 두 쿼리를 조합하면, 약 54,000개의 검색 결과를 확인할 수 있다.

Criminal IP의 Asset Search에서 tag: "PLC" title: Management System 을 검색한 결과, 54,000개 이상의 IP 주소가 외부에 노출되어 있다
Criminal IP의 Asset Search에서 tag: “PLC” title: Management System 을 검색한 결과, 54,000개 이상의 IP 주소가 외부에 노출되어 있다

네트워크에 연결된 CCTV 노출 여부 확인하기

내부 관리 시스템뿐만 아니라, CCTV도 쉽게 외부에 노출될 수 있는 주요 대상이다. 특히, 네트워크에 연결된 IP 카메라의 경우, 외부에 영상이 노출된 프라이버시 침해 사례가 종종 발생되고 있다. Criminal IP에서도 강남 성형외과 CCTV 유출 중국 몰카 영상 디렉토리 사례를 통해 IP 카메라의 유출 사례를 다룬 적이 있었다. 관리 시스템과 유사하게 외부에 노출된 CCTV도 간단한 태그 검색으로 확인할 수 있다.

tag: “IP Camera”

Criminal IP의 Asset Search에서 tag: "IP Camera" 를 검색한 결과, 1만개 이상의 IP 주소가 외부에 노출되어 있다
Criminal IP의 Asset Search에서 tag: “IP Camera” 를 검색한 결과, 1만개 이상의 IP 주소가 외부에 노출되어 있다

웹캠과 CCTV 등에 할당되는 IP 카메라 태그로 검색하면 총 1만개 이상의 외부에 노출된 IP 카메라의 서버를 확인할 수 있다. 노출된 IP 카메라 가운데에는 시스템의 로그인 페이지가 외부에 공개되어 있으면서, 익스플로잇 코드가 공개된 다수의 취약점이 발견된 서버도 있어 보안에 매우 취약한 상황이었다.

외부에 노출된 IP 카메라, 시스템 로그인 페이지가 공개되어 있으며, 다수의 취약점이 발견되었다
외부에 노출된 IP 카메라, 시스템 로그인 페이지가 공개되어 있으며, 다수의 취약점이 발견되었다

이렇듯 외부에 관리 시스템이 노출된 것만으로도 큰 리스크로 볼 수 있는데, 생각보다 관리자가 인식하지 못한 오픈포트나 취약점과 같은 사이버 위협이 위협 인텔리전스 툴에서는 다수 발견된다. 특히 이 글에서 다룬 내부 관리 시스템과 CCTV는 공격자들의 주요 타겟이 되는 만큼 외부 노출을 예방하기 위해 정기적인 네트워크 점검, 방화벽 설정, 그리고 불필요한 포트의 차단이 필수적이다. 또한, 시스템 로그를 모니터링하고, 의심스러운 활동이 감지되면 즉각 대응하는 체계가 필요하다.

Criminal IP와 같은 위협 인텔리전스 툴은 내부 관리 시스템과 CCTV의 노출 여부를 점검하는데 도움이 되며, 공격 표면 관리 솔루션을 통한 자동 모니터링과 리스크 관리 또한 외부 위협을 빠르게 파악하는 데 큰 역할을 한다. 마지막으로 의도하지 않게 포트가 열렸거나 외부 위협이 들어올 수 있는 경로가 발견되면 즉시 침입 경로를 차단하는 것이 중요하다.

관련하여 ‘인증 없는’ Brickstream 피플카운팅 시스템, 촬영·설정 페이지 무방비 노출 블로그를 참고할 수 있다.

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. 

데이터 출처: Criminal IP(https://www.criminalip.io/ko)

관련 글 :

‘인증 없는’ Brickstream 피플카운팅 시스템, 촬영·설정 페이지 무방비 노출
OSINT 위협 인텔리전스를 활용한 내부 관리 시스템 노출 예방법 | CIP Blog | Criminal IP