국내 기업이나 개인들이 사용하고 있는 NAS서버가 익명 계정을 허용해 심각한 정보유출과 해킹위협이 존재한다는 것이 드러났다. 일명 ‘익명 FTP 공격’으로 개인정보 유출, 기업정보 유출, 금융정보 등 각종 정보유출 피해가 발생할 수 있는 상황이다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 조승현(태성고) 군은 “Filemare.com은 전세계 IP를 대상으로 FTP스캔을 해 익명 계정으로 접근에 성공하면 하위 디렉토리와 파일들을 인덱싱해 수집하는 봇을 통해 검색기능을 제공하는 사이트이다. 이를 가지고서 악용의 소지가 있어 보여 몇 가지 전수조사를 한 후 문제의 심각성을 파악하고 보안조치 필요성을 느껴 제보하게 됐다”고 밝혔다.

Filemare.com에 인덱스 되어있는 대부분의 FTP서버들은 모든 파일과 디렉토리 퍼미션을 777로 설정해 운영하기 때문에 익명계정으로 로그인 했을 경우 악성 SW를 업로드 하거나 파일을 유추하는 ‘익명 FTP 공격(Anonymous FTP Attack)’이 가능한 상황이란 것이다.
 
조 군은 “실제로 많은 기업의 NAS서버가 익명계정의 접근을 허용하고 있고 다운로드와 업로드 모두 가능했다. 그 중에는 개인뿐만 아니라 기업체의 서버도 포함되어 있었고, 기업정보뿐만 아니라 개인정보를 다루는 회사의 FTP 서버가 무방비로 노출되어 있는 것을 발견했다”고 제보해 심각한 상황임을 알 수 있다“고 설명했다.
 
이번 조사를 통해 알 수 있었던 위험한 사례 몇가지 들면 다음과 같다.
우선 기업의 NAS서버로 추정되는 FTP서버에서 계열사들의 서버관리자계정, 보고서, 계약서, 공인인증서, 금융정보와 같은 기업의 민감한 내용을 다루는 주요 정보뿐만 아니라 고객명단과 정보를 문서화 한 것으로 추측되는 파일들이 다수 발견됐다.
 
또 개인의 NAS용 서버로 추측되는 FTP서버에서 사진, 공인인증서, 로그인 정보, 메일들이 저장되어있는 서버가 다수 검색됐다.
 
그리고 연구소로 보이는 기관의 FTP서버로 추측되는 서버가 발견이 되었으며, 기상위성에 명령을 입력하는 스크립트 파일이 포함된 서버로 추정되는 것도 발견되었다.
 
이러한 취약점을 방치할 경우 어떤 보안위협들이 발생할까. 조 군은 “굉장히 무서운 사실 중 하나는 NAS를 개인이나 기업체에서는 백업용으로 사용하거나 부서별 문서 공유 용도로 사용한다는 것”이라며 “기업체의 FTP 서버에서는 기업의 주요정보인 관리자계정, 라이선스, DB나 웹 서버 로그인 정보 등을 하나의 문서파일에 취합해 보관하는 경우가 여럿 발견되었으며, 이를 활용하면 기업정보, 개인정보의 유출이 손쉽게 이뤄질 수 있다는 점에서 상당히 우려되는 부분”이라고 지적했다.
 
특히 키워드 검색을 활용하면 NPKI, 명단, 사진과 같이 정보와 직접적으로 연관되어있는 키워드로 검색하는 것으로도 상당한 수준의 정보유출이 가능하다는 점이다.
 
또한 ‘index.php’, ‘main.php’와 같은 키워드로 검색을 하면 웹 서버를 운영하는 서버를 쉽게 찾아낼 수 있고 웹쉘과 같은 추가적인 공격도 가능하다. Filemare.com 검색 결과들은 구글 검색 결과에도 노출이 된다. 파일검색 중에 유입되기 쉽다.
 
취약점 패치 방안은 무엇일까. 조 군은 “가장 쉬운 방법으로는 Anonymous(익명) 계정에 대한 접근을 차단하거나 권한을 부여하지 않는 것으로도 이번 문제를 해결할 수 있을 정도로 간단한 문제임에도 많은 기업과 사용자들이 보안에 대한 중요성을 모르고 있는 것 같다”며 “Admin 정보를 초기 설정값과 다르게 설정하거나 펌웨어와 보안업데이트를 지속적으로 하면 보안문제가 해결될 것이라는 것이 가정용 NAS서버 사용자들의 일반적인 생각이다. 하지만 FTP 서비스에서 Anonymous계정의 권한은 Admin계정 설정과 업데이트와 상관없기 때문에 초기에 Anonymous 권한을 신경 쓰지 않으면 지속적으로 위험에 노출될 것”이라고 경고했다.
 
또한 “기업의 경우 부서별 서버를 물리적으로 분리하는 것을 고려해 봐야 할 것이다. 또한 문서들을 관리할 때 문서의 제목으로 파일이름을 결정하는 경우가 대다수다. 이럴 경우 공격자의 입장에서도 주요 문서를 쉽게 식별할 수 있기 때문에 만일의 사태를 대비하기 위해서라도 중요한 문서의 이름은 해싱해서 보관하는 것도 좋은 방법”이라고 조언했다.
 
데일리시큐는 해당 취약성을 KISA에 전달해 보안조치가 될 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com