"Intel" 내부자료 유출되다

지난 8월 6일 한 트위터에(@deletescape)^[1] Intel exconfidential Lake Platform Release 라는 제목의 글이 올라왔습니다. 이전에 공개되지 않았고 NDA 또는 기밀로 분류되는 인텔(Intel)의 자료들이 웹 사이트(mega.nz)와 토렌트 등을 통해 유포되었습니다.

자료에는 인텔 개발 및 디버깅 도구, 프로세서 회로도 등이 포함되었고 자료 내용에 대한 분석은 여러 사이트(e.g. https://linuxreviews.org/The_Massive_Intel_Leak:_The_Files_It_Contains_And_Their_Content)에서 확인할 수 있습니다. @deletescape 계정이 정지되고 유출된 자료 링크(mega.nz)에서 접근이 제한되었으나 토렌트 등 이차적으로 유포되었고 여러 사람들이 유출된 자료를 분석한 글을 작성했습니다.

해커는 어떻게 자료를 획득했을까요?

@deletescape 트위터 계정을 운영하는 Kottmann은 해당 데이터를 올해 초 인텔에 침입한 해커한테 제공받았다고 주장합니다. 당시 해커가 인텔을 침입한 방법으로 주장한 내용은 아래와 같습니다.

1. 네트워크 스캐닝(네트워크를 대상으로 열려있는 서비스, 포트 등이 있는지 확인)으로 특정 포트가 열려있는 서버를 찾았습니다.
2. 1에서 찾은 서버를 대상으로 기본 계정정보(e.g. 관리자 계정 id:admin/pw:admin), 추측 가능한 폴더/파일 명으로 접근을 하는 파이썬 코드를 작성해 접근을 시도했습니다.

잘못된 설정으로 인해 직원 권한으로 접근하거나 계정을 새로 만들 수 있는 서비스도 있었고 획득한 자료 중 비밀번호로 보호된 압축 파일들은 대부분 intel123 / Intel123 을 비밀번호로 사용한다 밝혔습니다.

인텔의 주장

"We are investigating this situation. The information appears to come from the Intel Resource and Design Center, which hosts information for use by our customers, partners and other external parties who have registered for access. We believe an individual with access downloaded and shared this data." ^[2]

인텔은 언론에서 유출 사실을 인정했습니다. 현재는 이 상황을 조사하고 있으며, 유출된 자료는 인텔 리소스 및 디자인 센터에서 고객/파트너/외부관계자에게 제공되는 자료이므로 접근 권한이 있는 사람이 자료를 다운로드 받아 공유한 것으로 생각한다 밝혔습니다.

보안적 관점에서 봐야하는 부분

• 해커의 주장에 따르면 외부에서 접근되는 인텔 서버 중 기본 계정을 사용하거나 잘못된 설정이 되어있는 서버가 있었습니다. 외부에 노출되는 서비스는 악의적인 사용자가 네트워크 스캐닝 등을 통해 탐색 가능하고 공격할 수 있기 때문에 서비스를 안전하게 개발해야 하고 외부에서 개발된 서비스를 호스팅 할 경우 기본 계정정보를 외부에서 추측할 수 없게 변경하였는지, 서비스의 설정파일(e.g. nginx conf)이 안전한지 확인해야합니다.
• 해커의 주장에 따르면 인텔에서 유출된 파일 중 압축 비밀번호가 걸린 파일은 intel123 / Intel123 비밀번호로 대부분 압축이 풀린다고 합니다. 사내에서 사용되거나 외부로 전송되는 중요한 파일(e.g. 소스코드, 문서)은 외부에서 접근 가능한 곳에 업로드하거나 전송할 때 암호화를 해야 합니다. 일반적으로 파일들을 압축하고 압축할 때 비밀번호를 사용하는 압축을 사용합니다. 압축에 사용되는 비밀번호가 매번 동일하거나 간단하여 유추할 수 있으면 파일이 외부에 유출되었을 때 쉽게 압축이 풀리기 때문에 매번 새로운, 복잡한 비밀번호를 사용하는 것을 권장합니다. 추가적으로, 압축된 파일을 전송할 때 압축 비밀번호는 다른 경로를 통해 전송하여 한가지 전송 경로가 노출되더라도 원본 파일 획득을 어렵게 하는 것이 좋습니다.
• 대부분의 회사에서 계정 정보나 비밀 키를 회사명이나 서비스 이름과 숫자 몇 개로만 조합하여 사용한다는 말을 이번 사건을 통해 다시 생각해보아야 합니다. 각 기업의 보안 담당자는 서비스 계정이나 사내에서 사용되는 비밀 키가 쉬운 비밀번호로 암호화되어있는지 확인해볼 필요가 있습니다.
• 인텔의 주장에 따르면 내부 자료에 접근 가능한 사람을 통해 자료가 유출되었습니다. 회사에서 내부 서비스를 제공할 때에는 각 그룹/사원 별로 필요한 최소한의 권한만을 권한을 갖게 해야 합니다. 퇴사자/부서이동 등의 이슈가 있을 때는 각 직원에게 발급된 계정과 권한을 관리해야 하고 자료에 접근 시 로그(이용기록)를 남겨야 합니다.

결론

매년 다양한 곳에서 정보 유출 사고가 발생하고 있습니다. 정보 유출 사고는 전문적이고 기술적인 해킹을 통해서도 일어나지만, 운영상의 실수나 내부자에 의해 발생하기도 합니다. 회사에서는 핵심 서비스 뿐만 아니라 그 외의 서비스들에 대해서도 전체적인 서비스에 대한 지속적인 보안 점검을 해야 합니다. 사내에서 사용되는 서비스 또한 적절한 권한 관리 및 로깅을 통해 정보 유출의 가능성을 줄일 수 있습니다.
저희 티오리에서는 인텔 자료 유출 사건과 같은 일을 사전에 예방하고자 기업 보안을 체계적으로 관리할 수 있도록 코드 오딧, 모의 해킹, Advanced Persistence Threat (APT) 공격등 다양한 서비스를 제공합니다. 또한 보안을 잘 모르는 개발자도 쉽게 공부하고 현업에서 사용할 수 있는 기술을 드림핵이라는 플랫폼으로 제공하며 커뮤니티에 기여하고 있습니다. 드림핵 사용자분들과 우리 모두가 안전하게 기술의 편리함을 누릴 수 있도록 더욱 노력하겠습니다.