사이버 보안 소프트웨어 회사 임퍼바(Imperva)에 따르면 7만 2,000여 개의 공공 레디스(REmote DIctionary Server, Redis) 중 75%가 허니팟 트래픽에서 발견된 멀웨어에 감염됐다고 한다.

임퍼바는 공공 레디스의 3/4에서 멀웨어 감염 징후가 나타났으며 백업 키가 있는 감염 서버는 중형 봇넷(610 IPs)의 공격을 받았다. 이 IP의 86%는 허니팟 트래픽 데이터를 기반으로 중국에 위치한다.

임퍼바의 나다브 아비탈은 감염 비율이 높은 이유는 공공 레디스가 인터넷에 직접 노출됐기 때문이라고 추측했다. 그는 이런 방식이 엄청난 보안 위험을 야기하기 때문에 바람직하지 않다고 말하며 레디스는 암호화되지 않은 일반 텍스트로 데이터를 저장하기 때문에 인터넷에 직접 연결돼서는 안 된다고 덧붙였다.

레디스는 메모리 내 분산 데이터베이스, 캐시 또는 메시지 브로커로 사용될 수 있다. 이것은 신뢰할 수 있는 환경에서 신뢰할 수 있는 클라이언트가 액세스하도록 설계됐기 때문에 공개적으로 노출돼서는 안 된다.

임퍼바는 구체적으로 연구를 시작한 지 24시간 만에 문제의 심각성을 판단했다. 295개 IP가 7만 건 이상의 공격을 개시했으며 공격의 종류로는 SQL 주입, 크로스 사이트 스크립팅, 악의적인 파일 업로드 및 원격 코드 실행 등이 포함된다. 이것은 사이버 공격자가 취약한 레디스를 악용해 추가 공격을 실시할 수 있다는 뜻이다.

임퍼바는 또한 네트워크 트래픽, 개인 식별 정보 및 기타 중요한 데이터를 불법 해독하는 서버 및 인증서에 불법적으로 액세스 할 수 있는 보안 소켓 셸 키를 발견했다.

한편 이 회사는 올해 초 레디스워너마인(RedisWannaMine)이라는 공격에 대해 공개한 바 있다.