13 1월 2017 엔지니어링

금품을 노린 데이터 인질(Ransom) 공격 차단

By Mike Paquette

지난 주말에 감행된 악성 공격으로 인해 수천 개 오픈 소스 데이터베이스의 데이터가 유출 및 삭제되고 금품 갈취를 위한 볼모로 잡혔습니다. 이번 공격에서는 멀웨어나 "랜섬웨어(Ransomware)"가 이용되지 않았고 제품 취약점과도 관련이 없었지만, 그럼에도 불구하고 이번 공격은 데이터 손실과 데이터 침해까지 초래한 심각한 보안 사고입니다. 그나마 좋은 소식은 유사한 공격으로 인한 데이터 손실을 적절한 구성을 통해 손쉽게 방지할 수 있다는 점입니다.

따라서 이번 사고를 모든 Elasticsearch 인스턴스, 특히 인터넷을 통해 액세스 가능한 데이터를 보호하는 것이 얼마나 중요한지 다시 한번 일깨우는 기회로 삼는 것이 좋겠습니다.  


Elastic Cloud를 선택하는 고객은 개별적으로 임의의 암호가 할당된 X-Pack 보안 기능을 통해 클러스터가 보호되므로 안심하셔도 됩니다. 고객이 선택한 AWS 영역 내에 이중 방화벽 및 프록시 뒤에 클러스터가 구축됩니다. 인터넷에서 암호화된 TLS 통신이 기본 구성으로 제공되며, Elastic은 2일 동안 클러스터 데이터 백업을 유지합니다.


다른 구축의 경우, 보안이 설정되지 않은 Elasticsearch 인스턴스를 인터넷에 직접 노출시키지 않는 것이 좋습니다. 2013년 블로그 게시물을 참조하십시오. 또한, Elastic은 기본 설치 시 로컬 호스트로만 바인딩하도록 구현되어 있습니다. 그럼에도 불구하고 인터넷 액세스가 가능한 인스턴스들이 보안이 뚫리는 사례가 늘고 있습니다.


인터넷과 연결된 Elasticsearch 인스턴스가 보호되지 않은 경우 데이터 보호를 위해 즉시 다음 조치를 취하는 것이 좋습니다.

  • 모든 데이터를 안전한 곳에 백업하고 큐레이터 스냅샷을 수행하십시오.
  • 라우팅할 수 없는 분리된 네트워크에서 Elasticsearch를 실행하도록 환경을 다시 구성하십시오.
  • 또는 인터넷을 통해 클러스터에 액세스해야 하는 경우에는 방화벽, VPN, 역방향 프록시 또는 기타 기술을 통해 클러스터에 대한 인터넷 액세스를 제한하십시오.

그리고 다음과 같은 모범 사례를 항상 따르는 것이 좋습니다.