FBI, “익명 FTP 서버에 민감한 정보 저장 말라”

 입력날짜 : 2017-03-29 11:29

  

 

             

사실상 아무나 접근 가능한 익명 FTP...공개 가능한 정보만 저장
10년 전부터 지켜졌어야 하는 보안 습관… 전문성 강한 집단은 무시

[보안뉴스 문가용 기자] FBI가 경보를 발령했다. 일부 사이버 공격자들이 현재 익명 FTP 서버를 공격하고 있다는 내용이다. 특히 의료계와 치과 관련 조직들의 FTP 서버들이 위험에 처해 있다고 한다. 공격자들이 의료 기관들을 노리는 이유는 개인 건강 정보(protected health information, PHI)와 개인 식별 정보(personally identifiable information, PII)에 접근하기 위해서다. 

익명 FTP란, 사용자들이 평범하거나 쉬운 사용자 이름이나 이메일 주소와 비밀번호로 인증 과정을 통과할 수 있도록 해주는 FTP 서비스로, 비밀번호가 없는 경우도 많다. 즉 비밀번호만 알면 누구나 연결될 수 있고, FTP 서버 안의 파일을 열람할 수 있게 되는 것이다. 그러므로 익명 FTP에 민감한 정보를 저장하지 않는 건 기본 중의 기본 수칙으로 지켜져 왔다. 

SANS의 존 페스카토어(John Pescatore)는 “익명 FTP는 공개 가능한 정보만 업로드 되어야 하는 서버이며, 아무나 출입이 가능하다는 사실을 반드시 기억해가며 사용해야 한다”고 강조한다. “하지만 이런 경고를 완전히 무시하는 조직들도 굉장히 많다”며 “편리한 정보 공유를 위해 익명 FTP를 활용하는 곳들이 상당수”라고 현재 상황을 설명한다.

이 사실을 사이버 범죄자들도 파악했고, FBI는 “접근이 쉬운 서버에 민감한 정보를 저장해두는 것은 도난 피해에 매우 취약해지는 지름길”이라고 경고를 하기에 이른 것. 익명 FTP 서버를 공격자 입장에서 활용하는 방법은 한두 가지가 아니라고 보안 전문업체인 클라우드패시지(CloudPassage)의 CTO 카슨 스위트(Carson Sweet)는 설명한다. 

“중요한 정보를 암시장에 팔기도 하고, 특정 인물에게 협박 메일을 보낼 수도 있지요. 아니면 다른 정보들과 결합하여 신상털이 공격을 하거나, 심지어 조작을 조작할 수도 있습니다.”

익명 FTP의 이러한 취약점은 예전부터 널리 알려져왔던 것이다. 그럼에도 ‘편리성’을 위해 여러 의료 업계의 조직들이 무시하고 있다. 스위트는 그러한 이유에 대해 “보안이 그들에게 있어 그다지 중요한 문제가 아니기 때문”이라고 설명한다. “그러니 의료 산업뿐만 아니라 보안이 덜 중요하게 여겨지는 모든 산업에 지금쯤 비슷한 위기에 처해 있을 것입니다.”

또한 전문성이 강한 산업의 종사자일수록 기존에 해오던 방식을 고수하고 싶어한다고 스위트는 설명을 덧붙인다. “그리고 해당 직종에 필요한 기술 외에 다른 것을 도입하는 것에도 매우 느린 경향을 보이고요. 현재 작은 의료 업체나 의료 산업의 서드파티들이 바로 여기에 정확히 맞아 떨어지고 있습니다.”

그러나 대형 병원이나 굵직한 의료 단체들은 이 공격에 비교적 덜 노출되어 있다고 FBI는 밝힌다. 그 이유는, 평소 연방정부가 그러한 단체들의 보안 상태를 빡빡하게 점검해왔기 때문이다. “작은 조직들은 대대적인 보안 점검의 사각지대에 있는 경우가 많죠. 그러니 누가 따끔하게 지적해준 것도 아닌 게 되고, 보안을 강화할 필요를 전혀 못 느끼게 됩니다. 아니면, 위험한 걸 알아도 무리수를 두는 선택을 하거나요.”

익명 FTP가 공격을 당했을 때 민감한 정보만 위험에 처하는 건 아니라고 SANS의 페스카토어는 강조한다. “사이버 공격자들이 이런 FTP에 악성 데이터를 저장할 수도 있지요. 아니면 공개하기 싫은 정보를 익명 FTP에 올려놓고 ‘공개하겠다’고 협박을 할 수도 있고요. 아니면 아예 독한 마음 먹고 누군가의 대체 불가능한 신상 정보를 온 세상에 공개할 수도 있어요. 여기에 멀웨어를 올려놓고 거래를 진행시킬 수도 있으니, 공격자들의 상상력에 따라 무궁무진한 활용이 가능하다고 해도 과언이 아닙니다.”

게다가 익명 FTP를 겨냥한 공격의 경우, 탐지가 매우 어려워진다는 특징이 있다. “공격자가 취약한 FTP 서버를 발견해내기 위해 스캐닝을 활동을 시작하면 방화벽과 침투 탐지 시스템이 이를 발견해내긴 합니다. 하지만 그것이 악성인지 아닌지를 구분하기가 매우 애매합니다. 게다가 보통 데이터 분실 방지 솔루션이라고 한다면, 나가는 데이터에 대해 민감하게 반응하지, 들어오는 악성 콘텐츠에 대해서는 거의 아무런 반응을 하지 않기도 하죠.”

FBI는 이 사실을 어떤 식으로 파악한 것일까? 그에 대한 정보는 아직 공개되지 않았으나 페스카토어는 “보통 사건이 발생한 후에 FBI는 대처를 시작한다”며 “분명히 현재 이와 관련된 수사나 재판이 진행 중에 있을 것”이라고 추측한다. 하지만 중요한 건 FBI의 정보 파악 경로를 알아내는 게 아니라 익명 FTP를 활용하는 업체들을 다시 한 번 교육시키는 것이라고 스위트와 페스카토어는 입을 모은다.

“익명 FTP를 사용하는 잘못된 습관은 이미 십 년 전에 다 없어졌어야 하는 겁니다. 2017년에도 이러한 공격 때문에 FBI가 경고문을 작성했다니, 정말 부끄러운 일입니다.” 현재 FBI는 작은 의료 업체에 “IT 점검을 실시할 것”을 강력하게 촉구하고 있다. 그러면서 익명 FTP에 저장된 민감한 정보를 모두 삭제할 것을 권장하고 있다.

출처:http://www.boannews.com/media/view.asp?idx=54014