[로그관리 및 분석 솔루션 SIEM] 환경 변수 파일(.env) 악용한 사이버 공격

 안녕하세요! No.1 IT 전문 기업 인스피언(주)입니다. 웹 애플리케이션에 노출된 환경 변수 파일(.env)을 악용하여 대규모 사이버 공격을 한 정황이 드러났습니다. 피해자의 실수로 인해 환경 변수 파일(.env)이 외부에 노출되었습니다. 클라우드 서비스와 소셜 미디어 및 온프레미스 애플리케이션에 대한 로그인 정보 등 중요한 자격 증명을 포함하고 있어 해커들에게 주요 목표가 되었습니다.

 

노출된 .env 파일을 악용한 사건

 이번 대규모 사이버 공격은 11만 개 이상의 도메인을 공격하였고, 노출된 .env 파일에 9만 개 이상의 고유 변수를 추출하였습니다. 이 중 7천 개는 AWS(아마존 웹 서비스) 클라우드 접근 키가 저장되어 있었으며, 1,500개는 소셜 미디어 계정과 연결된 것으로 확인되었습니다.

 해커들은 이러한 자격 증명을 이용해 AWS(아마존 웹 서비스) 클라우드 환경에 초기 접근한 후, 새로운 IAM(Identity Access Mannagement) 역할을 생성해 관리자 권한으로 승격시켰고, 이를 통해 악성 AWS Lambda 함수를 배포하여 수백만 개의 도메인과 IP 주소를 대상으로 한 인터넷 전역 스캔 작업을 자동화했습니다. 그 과정에서 추가적으로 노출된 .env 파일을 식별해 더 많은 데이터를 추출했습니다.

​

자동화 기술로 피해 대규모 확산

 해커는 자동 스캔을 통해 추가로 노출된 .env 파일을 포함한 도메인을 최소 11만 개 발견하였습니다. 도메인에 침투하여 클라우드 인프라에 접근하였고, 알맞은 S3 버킷을 찾아내 수많은 데이터를 확보하였습니다. 자동화 기술을 통해 실행하였기 때문에 공격의 과정을 단순화하고 자동 반복하며 대규모 사이버 공격으로 확산되었습니다. 데이터를 외부로 빼돌린 후 돈을 요구하며, 정보를 다크 웹에 판매하겠다고 협박하였습니다.

 이번 공격은 전통적인 보안 취약점이나 클라우드 제공 업체의 잘못된 설정을 이용한 것이 아니라, 단순한 환경 변수 파일의 노출을 악용해 이루어졌다는 점에서 주목됩니다. 그렇기에 환경 변수 파일의 보안 관리와 클라우드 보안 조치의 중요성을 다시 한번 상기시키는 계기가 되었습니다. 기업들은 최소 권한 원칙을 적용하고, 자격 증명 교체를 정기적으로 실시하며, 정기적인 보안 감사로 잠재적인 노출을 사전에 탐지하고 차단해야 합니다.

​

로그관리 및 분석 솔루션(SIEM) BizInsider PLUS

 로그관리 및 분석 솔루션(SIEM) BizInsider PLUS는 방대한 IT 시스템에서 발생하는 로그 및 이벤트를 수집/저장/분석/관리하는 일원화된 로그관리 및 분석 솔루션(SIEM)입니다. 실시간으로 SYSLOG, SNMP, AGENT 등 다양한 수집 방식을 통해 로그를 수집합니다. 미수신 로그는 재전송 기능을 제공하기에 누락된 데이터가 없도록 모두 수집할 수 있습니다. 분산 아키텍처를 적용하여 수평적 확장을 지원하며, 빅데이터 환경에서 수집되는 로그 데이터를 무한 병렬 확장으로 처리하여 성능을 확보할 수 있습니다. 수집된 로그는 중앙에서 배포 관리하기 때문에 로그를 중앙 집중화할 수 있습니다. 수집된 로그는 실시간 상관 분석 기능으로 로그 데이터를 분석하고 이상 징후를 빠르게 탐지하며, 이상 징후 탐지 시 관리자에게 알람을 발송하고 이에 대한 신속한 대응으로 피해를 최소화할 수 있습니다.

 로그관리 및 분석 솔루션(SIEM) BizInsider PLUS는 우수한 소프트웨어 품질을 인정받아 CC 인증과 GS 인증을 획득하였습니다. 제품은 조달청 온라인몰에서 구매할 수 있으며, 제품 및 서비스에 대해 궁금한 점이 있다면 지금 바로 문의해 주세요!

​