openWRT는 라우터를 위한 리눅스 기반의 오픈소스 운영 체제입니다. 이는 일반적으로 공유기에 탑재된 펌웨어보다 여러 기능들을 탑재하고 있고, 제조사가 더이상 펌웨어 업데이트를 지원하지 않는 장비 또한 openWRT를 사용하면 최신 기능/보안 패치와 함께 라우터를 사용할 수 있어 여러 사용자들이 애용하는 운영 체제입니다.

아쉽게도, 2021년 01월 16일 오후 1시(KST) "openWRT"의 개발자와 사용자들이 모여 지식을 나누는 포럼이 해킹당했습니다.

openWRT forum의 보안 공지 사항입니다. 01월 23일 기준으로 캡쳐된 사진입니다. ^[1]

공지 사항이 업데이트되어 확인 불가능한 경우에는 01월 18일 기준으로 아카이브된 openWRT 페이지를 확인하실 수 있습니다. ^[2]

유출된 자료는 무엇인가요?

다음은 openWRT forum의 보안 공지 사항입니다.

The intruder was able to download a copy of the user list that contains email addresses, handles, and other statistical information about the users of the forum.

해커는 openWRT forum의 사용자들이 가진 이메일 주소, 계정명, 유저들의 통계 정보 등에 접근할 수 있었다고 합니다.

해커는 어떻게 관리자 계정에 접근하였을까요?

Around 0400 GMT on 16 Jan 2021, an administrator account on the OpenWrt forum (https://forum.openwrt.org) was breached. It is not known how the account was accessed: the account had a good password, but did not have two-factor authentication enabled.

해당 계정이 어떤 경로로 접근 가능하였는지는 알려진 바가 없지만, 관리자 비밀번호의 경우 복잡한 비밀번호를 사용하고 있었으며 two-factor authentication(2FA)는 사용하지 않았다고 합니다.

패스워드 노출로 인해 관리자 계정이 노출된 것이라면, 키로거 등으로 인해 관리자 비밀번호가 직접 노출되었거나, 다른 웹사이트에서 노출된 패스워드를 openWRT forum에서도 동일하게 사용함으로써 노출되었을 가능성이 있습니다.
또한, 계정이 노출되더라도 신뢰하는 디바이스를 통해 2차 인증을 요하는 2FA가 적용되어 있지 않았기에, 해커는 목표하는 계정의 비밀번호만을 얻게 되면 계정에 접근할 수 있는 상황이였습니다.

해커가 관리자의 권한을 탈취하게 된다면, 일반 유저들이 접근하지 못하는 기능 혹은 정보에 접근 가능할 뿐만 아닌, 포럼 내에서 공유된 대화 혹은 파일들을 악성 프로그램으로 바꾸어 해당 포럼을 신뢰하고 사용하는 유저들 에게도 위협을 가할 수 있었습니다.

관리자는 어떻게 대응하였을까요?

from an abundance of caution, we are following the advice of the Discourse community and have reset all passwords on the Forum, and flushed any API keys.

1. You will need to reset your password by MANUALLY typing the following link without spaces: https : // forum . openwrt . org
   Enter your user name, and follow the "get a new password" hint.
2. You should assume that your email address and handle have been disclosed. That means you may get phishing emails that include your name. DO NOT click links, but instead manually type the URL of the forum as above.
3. If you use Github login/OAuth key, you should reset/refresh it.
4. OpenWrt forum credentials are entirely independent of the OpenWrt Wiki (https://openwrt.org). There is no reason to believe there has been any compromise to the Wiki credentials.

관리자는 해커가 전체 데이터베이스에 접근하였는지 확실하지 않았지만, 포럼 전체 유저들의 패스워드를 리셋하였으며 사용되던 API 키 모두 삭제하였다고 합니다.

관리자는 유저들에게 직접 패스워드 재설정을 요청하였습니다.

이름 등 개인정보가 포함된 링크를 이메일로 전송받았을 경우 접근하지 말라고 당부하였습니다.

깃허브 로그인 혹은 OAuth 키를 사용하는 경우 리셋하거나 재설정하라고 전달하였습니다.

마지막으로, 또 많은 사용자가 존재하는 openWRT wiki와는 독립적인 자격증명을 사용함으로 해당 wiki의 유저들은 안전하다고 전달하였습니다.

관리자의 대응은 빠르고 안전하였다고 판단됩니다. 해커가 접근할 수 있었던 정보가 한정적이라고 판단되었을 경우에도, 내부에서 2차적인 공격을 통해 추가적인 정보에 접근하였을 수 있기에 유저의 개인 데이터를 모두 리셋함으로써 노출된 데이터가 더 이상 유효하지 않도록 대응하였습니다.

결론

해킹은 고도화된 0-day, 1-day 익스플로잇으로 이뤄지기도 하지만, 기계가 대상이 아닌 인간이 기억하고 있는 데이터를 통해서 이뤄지기도 합니다.
사용하는 서비스는 해당 개인정보를 암호화하여 저장하고 노출이 불가능하도록 안전하게 관리하여도 해당 서비스를 사용하는 유저 혹은 관리자가 개인 디바이스를 소홀히 관리하거나 개인 정보를 부주의하게 노출하였을 경우에도 위협에 처할 수 있습니다.

저희 티오리에서는 코드 오딧, 모의 해킹 뿐만 아닌 기업 보안을 체계적으로 관리할 수 있도록 Advanced Persistence Threat (APT) 공격 등을 통해 담당자, 직원 등의 개인정보 보안 실태를 확인하여 보완할 수 있는 다양한 서비스를 제공합니다. 또한 기업에서 자주 사용되는 2FA가 안전한 방법으로 적용되었는지, 개인 정보를 저장하는 서비스가 안전하게 운용되고 있는지에 대한 보안 진단 경험 또한 가지고 있습니다.

기업 혹은 기관의 담당자 분들과 해당 서비스를 사용하는 우리 모두가 안전하게 기술의 편리함을 누릴 수 있도록 더욱 노력하겠습니다.