사고 & 취약점
Capital One, Equifax, Log4Shell, Heartbleed, XZ — 공개된 침해 사고와 취약점을 원인, 영향, 초동 대응, 예방법으로 나누어, 지금도 통하는 교훈을 짚어봅니다.
MOVEit 대규모 유출 사고(2023) — SQL 인젝션 제로데이가 2,700개 이상 조직에 도달한 경위와 방어법
진입점은 인터넷에 노출된 MOVEit Transfer의 SQL 인젝션 제로데이(CVE-2023-34362)였습니다. 웹 셸(LEMURLOOT)이 심어지고 백엔드 데이터베이스에서 데이터가 대량 탈취되어 2,700개 이상 조직, 약 9,330만 명에게 피해를 입혔습니다. 대부분의 피해자는 벤더가 MOVEit을 썼기 때문에 간접적으로 끌려 들어갔습니다. 여러분의 환경에서는 KEV 신속 패치, 노출 최소화, 웹↔DB 최소 권한과 분리, 벤더 인벤토리와 데이터 최소화가 핵심입니다.
Capital One 데이터 유출 사고(2019) — 단 하나의 SSRF가 1억 건이 넘는 기록을 유출시킨 경위와 방어법
단 하나의 SSRF가 메타데이터 엔드포인트에 도달 → 과도한 권한의 IAM 임시 자격 증명 → S3 일괄 복사로 약 1억 600만 건이 유출되었습니다. 모든 단계에서 막을 수 있었습니다. 여러분의 환경에서는 IMDSv2, IAM 최소 권한, 그리고 아웃바운드 조회에 대한 허용 목록이 핵심입니다.
Codecov 유출 사고(2021) — CI 안의 '신뢰하던 도구'가 탈취되어 비밀 정보가 새어 나갔을 때
신뢰하던 CI 도구(curl|bash로 실행되는 Bash Uploader)가 상위에서 변조되었습니다. 여러분의 코드는 손대지 않았기 때문에 약 2개월간 알아채지 못한 채 CI 비밀 정보가 유출되었고, 체크섬 검사가 이를 잡아냈습니다. 여러분의 CI에서는 가져온 산출물 검증, 최소 권한 비밀 정보, 로테이션, 이그레스 모니터링이 핵심입니다.
Equifax 유출 사고(2017) — 패치되지 않은 Apache Struts 결함이 1억 4,700만 명을 유출시킨 경위
원인은 이미 패치까지 나와 있던 알려진 CVE(CVSS 10.0)를 공개 시스템에 적용하지 않은 것이었습니다. 만료된 모니터링 인증서가 76일간 유출을 가렸습니다. 여러분의 환경에서는 자산 인벤토리, 패치 SLA, 머신 모니터링, 그리고 건강한 탐지가 핵심입니다.
Heartbleed(CVE-2014-0160) — 암호화 통신의 토대에서 메모리가 새어 나왔을 때
OpenSSL의 메모리 과다 읽기는 개인 키와 세션까지 유출시킬 수 있었습니다. 원인은 서버가 주장된 길이를 신뢰하고 인접 메모리를 읽은 것입니다. 교훈은 전부 새어 나갔다고 보고 행동하는 것 — 인증서를 재발급하고 모든 비밀 정보를 로테이션 — 그리고 토대 소프트웨어와 메모리 안전성의 무게입니다.
Log4Shell(CVE-2021-44228) — 자신이 그 버그를 가졌는지조차 확인할 수 없어 전 세계가 두려워한 밤
Log4j의 CVSS 10.0 버그. 진짜 공포는 전이 의존성 — 자신도 모르게 쓰던 라이브러리를 통해 영향을 받는 것이었습니다. 수동적인 로깅 경로가 공격 벡터가 되었습니다. SBOM, 머신 모니터링, 빠른 패치, 그리고 후속 CVE 추적이 교훈입니다.
XZ Utils 백도어(CVE-2024-3094) — 신뢰 그 자체가 표적이 되었을 때
신뢰받던 메인테이너가 xz에 백도어를 심은 공급망 공격. 한 엔지니어의 '이거 느린데?'가 안정 배포 직전에 잡아냈습니다. 표적은 코드가 아니라 사람과 신뢰였습니다. 의존성을 최소화하고, 버전을 핀 고정하고, 재현 가능하게 빌드하고, 이상을 끝까지 쫓고, 메인테이너를 지원하십시오.