안녕하세요, 여러분! 오늘은 최근 클라우드 보안 분야에서 주목받고 있는 문제에 대해 이야기해볼까 합니다. 지금 이 순간에도 많은 PostgreSQL 서버가 암호화폐 채굴을 위한 공격에 노출되고 있다는 소식이 들려왔는데요. 이러한 공격은 주로 파일 없는 방식으로 이루어져 탐지를 어렵게 하고 있습니다. 특히, JINX-0126이라는 위협 행위자가 이를 주도하고 있어 더욱 심각성을 더하고 있습니다.
왜 PostgreSQL 서버인가요?
클라우드 환경에서 데이터베이스는 그 중요성 때문에 주목받고 있습니다. 특히 PostgreSQL은 오픈 소스로서 많은 기업에서 사용하고 있는 만큼, 보안의 허점이 발생하기 쉽습니다. 위협 행위자들은 이를 악용해 방어 회피 기법을 사용하여 탐지를 피하고, 해시 평판에만 의존하는 보안 솔루션을 우회하는데 성공하고 있습니다. 이러한 캠페인은 사전 조사부터 시작되어, 서버 접근, 임시 SQL 명령어를 통한 임의 셸 명령 실행까지 이어지고 있습니다.
위협의 발전: PG_MEM에서 파일 없는 공격까지
아쿠아 시큐리티에서 처음 발견했다는 PG_MEM은 이제 더 발전된 형태로, 클라우드 워크로드 보호 플랫폼을 우회하고 있습니다. 특히, 각 타겟에 대해 고유한 해시를 가진 바이너리를 놓아 방어를 어렵게 하고 있습니다. 최근에는 파일 없는 방식으로 암호화폐 채굴 코드를 실행하며, 처리 과정에서 경쟁자 채굴기를 죽이는 등 철저한 준비성을 보이고 있습니다.
어떻게 대응할 수 있을까요?
-
강력한 인증 사용: 기업이 사용자 인증을 강화하고, 예측 가능한 자격 증명을 피함으로써 서버를 보호해야 합니다.
-
접근 조정: 외부에서 접근할 수 있는 데이터베이스 인스턴스를 최소화하고, 필요한 접근성만 부여하는 것이 중요합니다.
-
모니터링 및 탐지: 실시간 보안 모니터링과 탐지 솔루션을 통해 이상한 활동을 즉각 감지할 수 있도록 해야 합니다.
-
업데이트 및 패치 관리: 최신 보안 업데이트와 패치를 지속적으로 적용하여 시스템을 보호해야 합니다.
마무리하며
이러한 암호화폐 채굴 공격은 증가하는 클라우드 보안 위협의 단면을 잘 보여줍니다. 기업은 클라우드 환경의 보안 취약성을 점검하고, 위협 탐지 및 대응 능력을 강화해야 합니다. 작은 구멍에서 위협이 시작될 수 있다는 것을 명심하고, 무엇보다 예방이 최선이라는 점을 잊지 마세요.
다음에도 유익한 정보로 찾아뵙겠습니다. 질문이 있다면 언제든 댓글로 남겨주세요. 감사합니다!
