금품을 노린 데이터 인질(Ransom) 공격 차단
편집자 노트(2021년 8월 3일): 이 포스팅은 더 이상 사용되지 않고 앞으로는 사라지게 될 기능을 사용합니다. 현재 지침은 리버스 지오코딩을 통한 사용자 정의 리전 매핑 설명서를 참조하세요.
Elastic Stack 6.8/7.1 이상 버전 사용자를 위한 중요 참고 사항: Elastic Stack의 기본 배포에 이제 영구적으로 무료 사용이 가능한 보안 기능이 포함됩니다. 이러한 보안 기능으로는 사용자 인증, TLS 암호화, 역할 기반 액세스 제어 등이 있습니다. 구현 세부 정보는 Elasticsearch Security 시작하기를 확인해 보세요. |
지난 주말에 감행된 악성 공격으로 인해 수천 개 오픈 소스 데이터베이스의 데이터가 유출 및 삭제되고 금품 갈취를 위한 볼모로 잡혔습니다. 이번 공격에서는 멀웨어나 "랜섬웨어(Ransomware)"가 이용되지 않았고 제품 취약점과도 관련이 없었지만, 그럼에도 불구하고 이번 공격은 데이터 손실과 데이터 침해까지 초래한 심각한 보안 사고입니다. 그나마 좋은 소식은 유사한 공격으로 인한 데이터 손실을 적절한 구성을 통해 손쉽게 방지할 수 있다는 점입니다.
따라서 이번 사고를 모든 Elasticsearch 인스턴스, 특히 인터넷을 통해 액세스 가능한 데이터를 보호하는 것이 얼마나 중요한지 다시 한번 일깨우는 기회로 삼는 것이 좋겠습니다.
Elastic Cloud를 선택하는 고객은 개별적으로 임의의 암호가 할당된 X-Pack 보안 기능을 통해 클러스터가 보호되므로 안심하셔도 됩니다. 고객이 선택한 AWS 영역 내에 이중 방화벽 및 프록시 뒤에 클러스터가 구축됩니다. 인터넷에서 암호화된 TLS 통신이 기본 구성으로 제공되며, Elastic은 2일 동안 클러스터 데이터 백업을 유지합니다.
다른 구축의 경우, 보안이 설정되지 않은 Elasticsearch 인스턴스를 인터넷에 직접 노출시키지 않는 것이 좋습니다. 2013년 블로그 게시물을 참조하십시오. 또한, Elastic은 기본 설치 시 로컬 호스트로만 바인딩하도록 구현되어 있습니다. 그럼에도 불구하고 인터넷 액세스가 가능한 인스턴스들이 보안이 뚫리는 사례가 늘고 있습니다.
인터넷과 연결된 Elasticsearch 인스턴스가 보호되지 않은 경우 데이터 보호를 위해 즉시 다음 조치를 취하는 것이 좋습니다.
- 모든 데이터를 안전한 곳에 백업하고 큐레이터 스냅샷을 수행하십시오.
- 라우팅할 수 없는 분리된 네트워크에서 Elasticsearch를 실행하도록 환경을 다시 구성하십시오.
- 또는 인터넷을 통해 클러스터에 액세스해야 하는 경우에는 방화벽, VPN, 역방향 프록시 또는 기타 기술을 통해 클러스터에 대한 인터넷 액세스를 제한하십시오.
그리고 다음과 같은 모범 사례를 항상 따르는 것이 좋습니다.
- 최신 버전의 Elastic Stack으로 업그레이드하십시오.
- 2.x 버전을 실행 중이면 스크립트 설정을 확인하고, 5.x 버전을 실행 중이면 Painless 스크립트를 활용하십시오.
- TLS 암호화, 인증, 승인 및 IP 필터링을 추가하여 X-Pack 보안 을 통해 Elasticsearch 인스턴스를 보호하십시오.