최근 한 한국의 식당 체인의 내부 관리 시스템이 Criminal IP를 통해 노출된 사실이 확인되었다. 내부에서만 접근 가능해야 하는 관리 시스템이 외부에 노출된 상황으로, 이는 해커들이 쉽게 내부 시스템에 접근할 수 있음을 의미한다. 이번 글에서는 OSINT 기반 위협 인텔리전스 툴을 활용해 내부 관리 시스템 및 CCTV의 노출 여부를 확인하고 예방하는 방법을 소개하려고 한다.

위협 인텔리전스 툴로 내부 관리 시스템 노출 여부 확인하기

내부 관리 시스템(ERP, CRM 등)은 기업의 중요한 데이터를 관리하고 업무를 최적화하는 데 핵심적인 역할을 한다. 그러나, 개인정보 및 기업의 민감한 데이터를 다루는 만큼 내부 시스템은 해커들의 주요 타겟이 되고 있으며, 이러한 시스템이 외부에 노출되면 해커들은 이를 통해 중요한 정보를 탈취하거나, 시스템을 악용해 악성 프로그램을 설치할 수 있다. 이번에 발견된 내부 관리 시스템에도 매출정보와 고객 방문 현황, 판매 현황, 그외 민감한 정보들이 다수 포함되어 있었다.

외부에 노출된 식당 브랜드의 내부 관리 시스템외부에 노출된 식당 브랜드의 내부 관리 시스템

그렇다면 왜 해당 관리 시스템이 외부에 노출되었는지 확인해보며 위협 인텔리전스 툴로 내부 관리 시스템의 노출 여부를 확인하는 쿼리를 소개해 보고자 한다. Criminal IP에서 해당 시스템의 IP 주소를 검색해보니, PLC 태그가 할당된 12000번 포트가 열려있는 것을 확인할 수 있었다. PLC 태그는 ON/OFF 스위치, 온도, 위치, 시퀀싱(순서), 연산 등의 논리 작업을 프로그래밍(자동화) 할 수 있는 제어 소프트웨어에 할당된 태그로, 노출된 시스템이 자동화된 관리 시스템이었기 때문에 Criminal IP에서 PLC 로 분류한 것이다. 또한 시스템 페이지의 타이틀이 ‘~ Management System’ 형식으로 설정되어 있었다.

PLC 태그가 할당된 포트가 외부에 열려 있는 관리 시스템PLC 태그가 할당된 포트가 외부에 열려 있는 관리 시스템

 

위의 탐지 결과를 보면, 결과적으로 관리 시스템을 운영하는 포트가 열려있기 때문에 외부 접근이 가능해진 것이다. 이럴 경우 즉시 포트를 닫아 외부 접근을 차단해야 하지만, 발견된 지 한 달이 지난 현재도 해당 서비스의 포트는 열려있는 것을 확인할 수 있었다. 이번 사례를 통해 노출된 내부 관리 시스템을 특정할 수 있는 쿼리를 알 수 있다.

출처 :  OSINT 위협 인텔리전스를 활용한 내부 관리 시스템 노출 예방법 | CIP Blog (criminalip.io)