[보안 트러블슈팅 - 6]
평소와 다름없이 보안관제센터에서 UTM/FW 시스템을 모니터링하던 중, 특정 외부 IP(203.0.113.25)에서 내부(PN) 여러 서버와 다양한 포트(21, 3306, 3389, 50155 등)로 짧은 시간동안 다수의 접근 시도가 발견되었다.
UTM의 IPS(침입방지시스템) 룰이 즉시 동작해 Port Scan Detected 경보가 연속적으로 발생했으며, 트래픽 분석 결과로 동일 출발지 IP에서 여러 포트로 SYN 패킷이 동시다발적으로 유입된 것을 확인했다.
이처럼 여러 포트에 단기간 다수 접속 시도가 감지된다면, 포트 스캐닝 공격 행위일 가능성이 매우 높다.
이상 트래픽 원인을 파악하기 위해 내부망에 위치한 DB서버(172.20.10.5) 관련 로그를 집중 분석했다.
방화벽 및 시스템 로그 상, 비업무 시간에 외부 접속 시도 및 평소와 다른 접속 패턴이 확인되었고, 서버 내에서 외부 IP로(OutBound) 파일 전송 시도를 발견했다.
사용자 계정 접근 기록을 확인하니, 평상시 사용하지 않던 계정으로 로그인이 시도된 내역 또한 발견되었다.
이런 패턴은 포트 스캐닝 이후 실제 침투 및 내부 정보 유출 시도로 이어졌을 위험성을 강하게 시사한다.
추가 확인을 위해 UTM 및 DB서버의 연결 기록을 추적 분석했다.
접속 IP(203.0.113.25)에 대해 WHOIS 조회 및 Threat Intelligence 서비스를 통해 과거 악성 행위 여부를 조사한 결과, 동일 IP에서 내부망 내 다른 서버에도 비슷한 시도 내역이 시간적으로 연달아 기록되었었다.
Source IP 대역 출발국 정보와 트래픽 흐름을 종합하면 조직적인 공격 시도로 판단할 수 있습니다.
상황을 인지하고 즉시 아래와 같이 보안 강화 및 재발 방지 조치를 시행했다.
- UTM 정책 강화: Port Scanning 탐지 즉시 해당 IP 자동 차단 설정 추가.
- DB서버를 포함한 내부망 전체 서버에 대해 최신 보안패치 적용 및 긴급 취약점 진단 실행.
- 포트스캐닝 및 침입 관련 로그의 장기 보관 및 정기 점검 체계 마련.
- 보안 장비별 장기간 미사용 계정 완전 삭제.
- 향후 유사 이벤트 발생 시 자동화된 대응 프로세스와 즉각적 보고를 위한 스크립트 개발
포트 스캐닝은 침투의 전 단계이자 항상 감시해야 할 주요 위협이다.
유출이 의심된다면 즉각적인 물리, 논리적 망 분리 조치와 후속적인 취약점 보완이 필요하다는 것을 몸소 느꼈다.
또한 침해사고를 예방하기 위해 방화벽의 실시간 경보, 내부 시스템 로그 연계, 그리고 신속한 보안 정책 보강 과정이 반드시 필요하다는 결론을 주었다.
최근 AWS와 Docker Cluster를 활용한 클라우드 서비스 개발을 하고 있다.
위와 같은 보안사고를 예방하기 위해 각 보안장비와 AWS에 대응하는 서비스를 알리고자 한다.
AWS VPC Gateway - 라우터 endpoint
AWS CloudWatch - UTM/FW
AWS GuardDuty - WHOIS
AWS 보안그룹 인바운드 규칙 - UTM/FW Policy
AWS Lambda - 실시간 경보 스크립트
*보안 상의 이유로 허구의 IP 및 공격기법을 섞어 작성했음을 밝힙니다.