2024-07-18 09:50 (목)
구글링으로 네이버 내부 시스템 URL노출...보안위협인가?
상태바
구글링으로 네이버 내부 시스템 URL노출...보안위협인가?
  • 길민권
  • 승인 2012.06.08 16:05
이 기사를 공유합니다

구글링만으로 네이버 내부 시스템 URL노출, 보안위협인가 아닌가?
제보자 의견과 네이버측 답변 그리고 보안전문가 2인의 의견
네이버 NHN 기업서버가 단지 구글링만으로 알아 낼 수 있어 잠재적인 보안위협이 될 수 있다는 제보가 들어왔다. 국내 대표적인 포털 네이버를 운영하는 NHN의 잠재적 보안위협에 대해 보안커뮤니티 HFFL에서 현재 활동중인 김모씨(페이스북)가 제보한 것이다. 기사에는 제보 내용에 대한 상세한 내용과 네이버측의 답변 그리고 3자적 관점에서 보안전문가 두분의 의견을 함께 보도할 것이다.     
 
◇제보 내용=김씨의 제보 내용은 다음과 같다. “최근 조사결과 NHN기업서버를 구글링을 통해 알아 낼 수 있다는 것이 발견됐다”며 “이번에 노출된 내용은 네이버 보안서버라고 주장하는 홈페이지이다. 이 서버를 조사해 보면 네이버 대외비 문서로 유출하지 말라는 문서도 빼내올 수 있는 상황”이라고 NHN측의 보안조치를 당부했다.
 
그는 “네이버 보안서버, 즉 네이버 전체를 관리하는 서버가 단지 구글링만으로 찾을 수 있다는 것은 이해할 수 없다. NHN측의 즉각적인 조치가 있어야 하는 상황”이라며 “구글을 통한 해킹을 방지하려면 robots.txt에서 nhncorp 자체에 로봇이 접근하는 것을 막는 것이 중요하다. 또한 인프라넷이나 서버 내부망에서 서버를 관리하는 것이 더 바람직하다. 인증서니 뭐니 해서 로그인을 암호화 해도 언제든지 해커들은 어떠한 방면에서는 마음만 먹으면 뚫을 수 있다는 것을 알아야 한다”고 경고했다.  
 
또 김씨는 “NHN 기업 사이트를 조사하다 보면 네이버 내부망 서버들로 추정되는 서버인 MyNext를 발견할 수 있다. MyNext 등 다른 몇 가지 도메인을 찾다 보면 pubsec을 알게 되는데, 여기서 NHN의 대외비 가이드 서류가  노출되고 있고 내부보안서버까지 찾을 수 있다. 또한 NHN 기업관련 URL(기사에는 공개하지 않겠다)을 구글에 입력하면 NHNCorp에 대한 모든 서브도메인이 출력된다”고 설명했다.
 
이렇게 네이버는 운영자 서버를 공격자에게 들키게 된다. 김씨는 “만약 해당 주소를 악의적 해커들이 알게 될 경우, 매우 큰 일이 벌어지게 될 것이다. 사내 서버가 이미 노출된 상태에 nhncorp.com이 메인서버인 것을 알게 되었으니 일부 해커들은 저 사이트에 있는 보안 인증서를 해킹하려 들거나 nhncorp.com 도메인으로 된 이메일에 좀비 바이러스를 주입해 관리자들의 컴퓨터를 해킹할 우려가 있다”며 “아직까지 많이 알지 않는 것으로 안다. 만약 이 취약점이 외부에 공개 된다면 네이버는 무방비 상태에 매우 위험한 일을 겪을 수 있다”고 경고했다.

◇네이버측 답변=제보 내용에 대해 네이버측은 이렇게 답변했다. "내부 시스템에서 주로 사용하는 domain인, nhncorp.com을 구글링 하면 전부는 아니지만 다수가 검색 되는 건 맞다.
 
그러나 url을 알고 있다고 해서, 해당 시스템에 접근은 불가하다. 제보자는 외부에서 접근 가능한 상황이라고 표현하고 있다. 이는 VPN을 통해 2차에 걸친 인증을 거쳐야만 접근이 가능하기 때문에 사실과 다르다.
 
그리고 네이버 전체 서버를 외부에서 들어 갈수 있는 취약점이라고 했는데 이는 url에 대한 단순 노출이지 취약점이 아니다. 서버를 외부에서 들어갈 수도 없다. 또한 pubsec.nhncorp.com에 존재하는 대외비 문서는 pubsec이나 neosec 접속을 하는 방법을 가이드한 문서로 회사의 중요 정보를 포함하고 있지 않으며 편의 상 초기 페이지에 첨부한 자료다.  
 
요약하면, 여러 이유로 사내 시스템 url들이 구글링 되는 건 맞지만 url을 알고 있다고 해서 해당 시스템에 접속할 수 있는 건 아니며 url 정보가 노출되었다고 해서 보안 취약점이 있는 것도 아니다"고 답했다.

◇보안전문가 의견 1=우선 URL이 노출된 것은 맞지만 보통은 노출되어도 접속이 안되는 시스템이 대부분이다. 예를 들어 URL을 통해 페이지에 접근했다고 하더라도 ID랑 패스워드를 또 입력해야 한다거나 혹은 VPN 등으로 인증을 해야만 정상적인 액세스가 되야 한다거나 이런 추가적인 보완장치가 있다.
 
URL 노출 자체가 잘했다는 얘기는 아니지만 적절한 보안 과정만 있다면 사실 그 자체로 문제될만한 소지는 크게 없다고 보면 된다. 가령 제로보드라고 가정한다면, 어드민 로그인을 할 수 있는 URL을 안다고 해도 어드민 ID랑 패스워드를 모르면 어드민으로 접속을 하지 못하는 것과 똑같다고 보면 된다.
 
문서 첫면에 대외비라고 했는데, 관리를 잘못해 유출된 것은 잘못이 맞다. 하지만 문서 내용 자체만으로는 사실 네이버 서버에 접근할 수 없는 것이 맞는것 같다. 내용을 보니 계정 신청을 하더라도 관리자가 인증하고, 사용자가 신청한 계정을 활성화 시켜주는 과정이 필요한데 이 과정이 이루어지지 않으면 네이버 서버에 접근할 수 없는 것이 맞다.
 
사실 접속 방법에 대한 가이드 라인 자체에 대한 내용이나 문서는 공개가 되어도 무방하지 않을까 생각이 든다. 왜냐하면 접속 방법 자체에 대해 투명하게 공개되어야 더 안전하다는 것이 보장될 수 있을 것이다. 접속 방법을 공개해도 악의를 가진 사람들은 접근할 수 없다는 의미가 되기 때문이다.
 
이것은 비단 인증에만 국한되는 내용이 아니라 사실 암호화에서도 똑같이 적용되는 얘기다. 암호화에서도 암호화 알고리즘을 공개하지 않으면 암호로써의 기밀성을 보장할 수 없다고 평가하고 있다.
 
정리 하자면 인증 등의 메커니즘 자체를 공개하는 것은 문제가 안된다고 보는데 다만 지적할 부분이 있다면 네이버쪽에서 해당 문서를 대외비라고 표현했는데도 노출되게 만들었다는 것 자체는 지적할만한 사항이다.
 
구글링에 의한 URL 노출문제는 네이버의 정책에 따라 다르게 평가할 수 있을 것 같다. 만약 이런 문서 등을 다른 계열사 직원들을 위해서 해당 도메인을 오픈시키는 구조라고 한다면 어쩔 수 없다고 보는 것이 맞다. 적어도 접속하는 방법에 대한 안내 문서 자체는 일단 공개될 필요가 있을 것이고 그런 면에서 봤을 때 구글 등에 검색될 수 밖에 없다는 네이버의 의견은 어느 정도 합리적이라고 볼 수 있을 것 같다.

◇보안전문가 의견 2=일단 url 노출이 되면 내부 시스템에 대해서 당연히 공격이 심각해 질 수 밖에 없다. 이런 이유에서 기사로 경각심을 유도하는 것은 맞다고 생각한다.
 
노출된 대외비 문서는 ssl vpn 이용해서 접근 하는 방법에 대한 매뉴얼인데 대외비란 공개적으로 노출시키지 말라는 의미일 뿐이다.
 
다만 이번 건은 내부에 서버들이 어떤 식으로 연결되는지 어떤 구조로 연결이 가능한지에 대해서 충분히 인식 할 수 있고 정보를 얻을 수 있기 때문에 문제가 되는 것이다. .
 
한가지 덧붙이면 내부서버로 접근하는 방법에 대해서 기술되어 있는 경우 공격자에게 당연히 좋은 정보와 참고가 된다는 점에서 문제가 될 수 있어 제보자도 제보를 했을 것이고 기사로도 올라갈 만한 가치가 있다고 생각한다.
 
url 정보로 내부 서버에 접근은 가능한지에 대해 불가능하다. 다만 url 정보를 이용해서 공격에 참고는 할 수 있다.
 
공격에 참고하고 이런 식으로 접근을 관리하고 있으니 공격자 입장에서는 이런 경우에는 사용자를 타깃화해서 정보를 빼내 내부를 공격 해야겠구나 하는 판단을 할 수 있게 해준다. 그 정보가 확보되면 그 다음 내부를 직접 공격 할 수 있게 되는 것이다.
 
1차로 직접적인 공격의 대상이 되기는 어렵고 한번 더 단계를 거쳐서 직접 활용이 가능한 위험요소가 노출된 것이라고 하는 것이 맞을 것 같다.
 
그리고 구글링에 의한 url노출에 대해서는 일단 노출 되었다는 부분이 문제다. 공격자가 공격 방식을 판단 할 수 있다는 점도 문제다. 당연히 노출 문서를 보면 접근 방법에 대해서 기술되어 있는데 몇몇 사용자 PC를 공격하고 그 뒤에 접근 할 경우의 방어 방법은 문제가 있는 상황이다.
 
사실 사용자 접근 방식이 노출 되면 공격자가 집중 할 수 있는 부분도 한정이 되고 그만큼 내부로 침입 될 수 있는 가능성도 높아진다. 사용자들에게만 집중해서 ssl vpn pin code를 뽑아 내거나 인증서를 뽑아내면 내부 침입은 그만큼 쉬워 지기 때문이다.
 
구글링에 의해서 내부 침입이 가능하다기 보다는 공격자가 내부로 침입하는 방식을 이해하게 되고 공격의 방향을 조절 할 수 있다는 점이 문제다. 그 결과에 의해 내부가 직접 공격 당할 수 있기 때문이다.

데일리시큐 길민권 기자 mkgil@dailysecu.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★