전 세계에 노출된 Redis·phpMyAdmin·Dev 등 핵심 디지털 자산: 글로벌 OSINT 분석 | CIP Blog

※ 이 글은 X(구 트위터) 기반 위협 인텔리전스 전문가 Clandestine의 분석 내용을 기반으로 작성되었습니다.

오늘날 사이버 위협이 점점 더 정교해지면서, 많은 핵심 디지털 자산이 외부에 노출되고 공격자의 표적이 되고 있습니다. 이러한 환경에서는 외부 노출과 새로운 위협을 지속적으로 식별하는 것이 중요하며, 공격자의 타깃이 되기 전에 취약 자산을 선제적으로 파악하는 것이 필수적입니다.

본 글에서는 인터넷에 노출된 핵심 디지털 자산의 현황을 식별하고 분석하기 위해 수행한 글로벌 오픈소스 인텔리전스(OSINT) 조사 결과를 소개합니다. 이번 조사는 7개의 고위험 서비스 카테고리에 초점을 맞췄으며, 그 결과 전 세계적으로 33만 개가 넘는 노출 인스턴스로 구성된 방대한 공격 표면이 확인되었습니다.

글로벌 노출 현황 개요

Criminal IP Assset Search를 통해 확인한 전 세계 노출 자산 개요 차트 이미지

Criminal IP Asset Search를 활용해 주요 카테고리별로 전 세계에 노출된 자산을 분석한 결과는 다음과 같이 정리할 수 있습니다.

#	노출 자산 카테고리	Criminal IP Asset Search 쿼리	검색 결과
1	Dev/Stanging	title:dev OR title:staging OR title:test AND port:443	136,612
2	Kubernetes Dashboard	title:”Kubernetes Dashboard” AND port:8443	140
3	Grafana Dashboard	title:Grafana AND port:3000 AND status_code:200	87,213
4	Elasticsearch	product:Elasticsearch AND port:9200	15,991
5	Redis	product:Redis AND port:6379	46,583
6	Jenkins CI/CD	product:Jenkins AND port:8080	241
7	phpMyAdmin	title:”phpMyAdmin” AND status_code:200	48,428

카테고리별 상세 결과 및 분석

1. 노출된 Development 및 Staging 환경

개발, 스테이징, 테스트 환경은 본질적으로 보안 수준이 낮은 경우가 많아 공격자들이 가장 먼저 노리는 대상이다. 검색 결과, 이러한 환경은 전 세계에 분포해 있으며 특히 미국과 아시아 태평양 지역에 높은 밀도로 집중되어 있는 것으로 나타났다. 또한 이들 환경에는 실제 운영 데이터가 포함되어 있거나, 취약한 인증 정보가 사용되고, 디버그 모드가 활성화된 경우가 많아 데이터 유출의 위험이 크고, 보다 정교한 공격으로 이어질 수 있는 초기 침투 지점으로 작용할 가능성이 높다.

노출된 Development 및 Staging 자산 Criminal IP Asset Search 분석 결과

Criminal IP Search 쿼리: title:dev OR title:staging OR title:test AND port:443

https://www.criminalip.io/ko/asset/search?query=title%3Adev+OR+title%3Astaging+OR+title%3Atest+AND+port%3A443

2. 노출된 Kubernetes 대시보드

Kubernetes 대시보드의 외부 노출은 클라우드 환경에서 가장 치명적인 보안 취약점 중 하나로 꼽힌다. 검색 결과, 전 세계적으로 총 140개의 노출된 Kubernetes 대시보드가 확인되었으며, 중국이 가장 많은 노출을 보였고 그 뒤를 이어 독일과 미국이 높은 비중을 차지했다. 대시보드와 함께 2379, 10250와 같은 핵심 포트가 노출된 경우, 공격자는 클러스터에 대한 완전한 제어 권한을 획득하고, 비밀 정보 탈취, 원격 코드 실행이 가능해진다. 이는 랜섬웨어 감염, 암호화폐 채굴, 공급망 공격으로까지 확산될 수 있어 전 세계적으로 매우 심각한 위협이 된다.

노출된 Kubernetes 대시보드 Criminal IP Asset Search 분석 결과

Criminal IP Search 쿼리: title:”Kubernetes Dashboard” AND port:8443

https://www.criminalip.io/ko/asset/search?query=title%3A%22Kubernetes+Dashboard%22+AND+port%3A8443

3. 노출된 Grafana 서버

외부에 노출된 Grafana 서버는 비즈니스 및 인프라 관련 핵심 정보가 유출될 수 있는 매우 큰 위험 요소다. 분석 결과, 전 세계적으로 87,213개의 Grafana 인스턴스가 외부에 노출된 상태로 확인되었다. 특히 CVE-2021-43798과 같은 취약점이 악용될 경우, 공격자는 임의 파일을 읽고 데이터 소스 자격 증명을 탈취할 수 있어, 전 세계 조직의 내부 시스템과 운영 정보에 심각한 영향을 미칠 수 있다.

노출된 Grafana 서버 Criminal IP Asset Search 분석 결과

Criminal IP Search 쿼리: title:Grafana AND port:3000 AND status_code:200

https://www.criminalip.io/ko/asset/search?query=title%3AGrafana+AND+port%3A3000+AND+status_code%3A200

4. 노출된 Elasticsearch

외부에 노출된 Elasticsearch는 대규모 데이터 유출로 이어질 수 있는 대표적인 공격 벡터다. 분석 결과, 전 세계적으로 15,991개의 Elasticsearch 인스턴스가 외부에 노출된 것으로 확인되었다. 일부 자산은 인증 없이 접근 가능한 상태로 운영되고 있어, 공격자가 저장된 모든 데이터에 접근하거나 이를 수정·삭제할 수 있는 심각한 위험을 내포하고 있다. 또한 CVE-2014-3120(RCE)와 같은 취약점이 악용될 경우, 서버에 대한 완전한 제어 권한 탈취까지 이어질 수 있어 각별한 주의가 필요하다.

노출된 Elasticsearch Criminal IP Asset Search 분석 결과

Criminal IP Search 쿼리: product:Elasticsearch AND port:9200

https://www.criminalip.io/ko/asset/search?query=product%3AElasticsearch+AND+port%3A9200

5. 노출된 Redis 자산

외부에 노출된 Redis는 운영체제 수준의 명령 실행이 가능하다는 점에서 매우 치명적인 보안 위험 요소다. 분석 결과, 전 세계적으로 46,583개의 Redis 관련 인스턴스가 외부에 노출된 것으로 확인되었다. 공격자는 Redis를 악용해 웹 셸을 생성하거나, authorized_keys 에 SSH 키를 추가해 지속적인 접근 권한을 확보할 수 있으며, 해당 서버를 발판으로 내부 네트워크 공격을 수행할 수도 있다.

또한 세션 정보와 캐시 데이터 탈취 역시 전 세계적으로 심각한 보안 위협으로 작용할 수 있다.

노출된 Redis 자산 Criminal IP Asset Search 분석 결과

Criminal IP Search 쿼리: product:Redis AND port:6379

https://www.criminalip.io/ko/asset/search?query=product%3ARedis+AND+port%3A6379

6. 노출된 Jenkins 서버

외부에 노출된 Jenkins는 공급망 공격으로 직결될 수 있는 고위험 공격 벡터다. 분석 결과, 전 세계적으로 241개의 Jenkins 인스턴스가 외부에 노출된 것으로 확인되었다. Jenkins에 대한 무단 접근이 발생할 경우, 소스 코드와 운영 환경 자격 증명 탈취는 물론, 빌드 파이프라인에 악성 코드를 주입해 전체 소프트웨어 개발 체계가 침해될 수 있다. 특히 CVE-2024-23897 취약점은 자격 증명 탈취와 이후의 고도화된 공격을 시작하는 데 자주 활용되는 기법으로 알려져 있어 각별한 주의가 필요하다.

노출된 Jenkins 서버 Criminal IP Asset Search 분석 결과

Criminal IP Search 쿼리: product:Jenkins AND port:8080

https://www.criminalip.io/ko/asset/search?query=product%3AJenkins+AND+port%3A8080

7. 노출된 phpMyAdmin

phpMyAdmin은 광범위한 사용과 빈번한 약한 또는 기본 자격 증명 사용으로 인해 공격자들이 가장 선호하는 표적 중 하나로 남아 있다. 분석 결과, 전 세계적으로 48,428개의 phpMyAdmin 인스턴스가 확인되었다.

노출된 phpMyAdmin Criminal IP Asset Search 분석 결과

Criminal IP Search 쿼리: title:”phpMyAdmin” AND status_code:200

https://www.criminalip.io/ko/asset/search?query=title%3A%22phpMyAdmin%22+AND+status_code%3A200

결론

이번 분석 결과는 인터넷에 노출된 주요 서비스들이 만들어내는 광범위한 글로벌 공격 표면을 명확히 보여준다. 특히 Criminal IP와 같은 OSINT 도구를 활용하면 이러한 자산을 매우 손쉽게 식별할 수 있다는 점은, 선제적 보안 대응 체계의 필요성을 더욱 부각시킨다.

모든 카테고리에 공통적으로 적용해야 할 주요 대응 방안은 다음과 같다.

관리 인터페이스의 인터넷 직접 노출 금지: VPN, IP 화이트리스트, 인증 프록시를 활용해 외부 접근을 차단해야 한다.
강력한 인증 체계 적용: 익명 접근을 비활성화하고, 다중 인증(MFA)을 반드시 도입한다.
소프트웨어 최신 상태 유지: 알려진 CVE를 해결하기 위해 보안 패치를 지속적으로 적용한다.
최소 권한 원칙 적용: RBAC를 구성하고, 서비스 계정에는 반드시 최소 권한만 부여한다.
지속적인 모니터링 체계 구축: Criminal IP ASM과 같은 공격 표면 관리(ASM) 도구를 활용해 외부 노출을 실시간으로 탐지한다.

현대 사이버 보안 환경에서는 단일 지표만으로는 위협을 파악하기 어렵다. 다양한 쿼리와 데이터를 상호 연계 분석함으로써, 전 세계적으로 운영 중인 공격자 인프라와 진행 중인 공격 캠페인을 효과적으로 식별할 수 있다. 이제 조직은 기존의 단편적인 보안 관행을 넘어, 외부 공격 표면을 지속적으로 관리하는 전략적 접근으로 전환해야 한다.

관련하여 Criminal IP Dorks Cheat Sheet: 실전 위협 인텔리전스 쿼리 가이드 (1편) 글을 참고할 수 있다.

출처: Criminal IP(https://www.criminalip.io/ko), MITRE. Common Vulnerabilities and Exposures (https://www.cve.org/)