Internet Archive, 도난된 액세스 토큰으로 또 침해됨
(bleepingcomputer.com)- Internet Archive는 앞선 데이터 침해와 DDoS 이후에도 노출된 인증 토큰 문제가 남아 있어, 이번에는 Zendesk 이메일 지원 시스템까지 침해됨
- 공격자는 2018년 이후 info@archive.org로 접수된 80만 건 이상 지원 티켓에 접근 가능한 Zendesk 토큰을 확보했다고 밝혔고, 발송 이메일은 DKIM, DMARC, SPF 검사를 통과함
- 초기 침해는 개발 서버의 GitLab 구성 파일에 노출된 토큰에서 시작됐으며, 해당 토큰은 최소 2022년 12월부터 노출돼 있었던 것으로 확인됨
- 도난된 소스 코드에는 데이터베이스 관리 시스템 자격 증명과 추가 토큰이 포함돼, 사용자 데이터베이스와 사이트 수정 권한까지 접근됐을 가능성이 있음
- 정치나 금전보다 cyber street cred 확보에 가까운 공격으로 보이며, 탈취 데이터가 침해 데이터 커뮤니티나 해킹 포럼에 유통될 위험이 남아 있음
Zendesk 지원 시스템까지 이어진 침해
- Internet Archive는 이번에 Zendesk 이메일 지원 플랫폼을 통해 다시 침해됨
- 과거 Internet Archive에 삭제 요청을 보냈던 여러 사용자가 답장을 받았고, 메시지는 조직이 도난된 인증 토큰을 제대로 교체하지 않았다고 경고함
- 공격자 이메일에는 Internet Archive가 몇 주 전 침해를 인지한 뒤에도 GitLab secrets에 노출된 여러 API 키를 회전하지 않았다는 내용이 담김
- 공격자는 Zendesk 토큰에 2018년 이후 info@archive.org로 전송된 80만 건 이상 지원 티켓 접근 권한이 있다고 밝힘
- 해당 이메일 헤더는 DKIM, DMARC, SPF 인증 검사를 모두 통과했으며, 192.161.151.10의 승인된 Zendesk 서버에서 발송된 것으로 확인됨
지원 티켓 첨부 파일 노출 가능성
- 일부 사용자는 Wayback Machine에서 페이지 삭제를 요청할 때 개인 신분증을 업로드해야 했음
- 공격자가 Zendesk API 접근 권한으로 지원 티켓을 다운로드했다면, 해당 첨부 파일에도 접근했을 수 있음
- Zendesk에는 티켓 첨부 파일을 조회하는 API가 있으며, 실제 노출 범위는 공격자가 가진 API 권한과 사용 여부에 따라 달라짐
GitLab 토큰 노출과 앞선 공격
- 10월 9일 Internet Archive는 같은 시기에 두 가지 공격을 겪음
- 사이트 사용자 데이터 3,300만 명이 도난된 데이터 침해
- SN_BlackMeta라는 친팔레스타인 성향을 주장하는 그룹의 DDoS 공격
- 두 공격은 같은 기간 발생했지만 서로 다른 공격자가 수행함
- 여러 매체가 SN_BlackMeta를 데이터 침해 배후로 잘못 보도했지만, 실제 데이터 침해 공격자는 별도로 BleepingComputer에 연락해 공격 방식을 설명함
- 초기 침해는 Internet Archive 개발 서버인 services-hls.dev.archive.org에 노출된 GitLab 구성 파일에서 시작됨
- 해당 GitLab 토큰은 최소 2022년 12월부터 노출돼 있었고, 이후 여러 차례 회전된 것으로 확인됨
소스 코드에서 이어진 추가 접근
- GitLab 구성 파일의 인증 토큰으로 Internet Archive의 소스 코드 다운로드가 가능했다고 공격자가 밝힘
- 공격자는 소스 코드 안에서 추가 자격 증명과 인증 토큰을 찾았다고 주장함
- 여기에는 Internet Archive의 데이터베이스 관리 시스템 자격 증명도 포함됐고, 이를 통해 다음 접근이 가능했다고 함
- 조직의 사용자 데이터베이스 다운로드
- 추가 소스 코드 다운로드
- 사이트 수정
- 공격자는 Internet Archive에서 7TB 데이터를 훔쳤다고 주장했지만, 증거 샘플은 공유하지 않음
- 이후 도난 데이터에 Internet Archive의 Zendesk 지원 시스템용 API 접근 토큰도 포함된 것으로 드러남
반복 경고에도 남은 대응 공백
- BleepingComputer는 Internet Archive에 여러 차례 연락해 침해 발생 방식과 동기를 공유하겠다고 제안함
- 가장 최근 연락은 금요일이었지만 응답을 받지 못함
- 이번 Zendesk 침해는 GitLab 인증 토큰 노출 이후 관련 토큰을 충분히 교체하지 않았다는 공격자 주장과 연결됨
공격 동기와 데이터 유통 위험
- Internet Archive 침해 뒤에는 이스라엘, 미국 정부, 저작권 분쟁 중인 기업이 배후라는 음모론이 퍼짐
- 이번 침해는 정치적 이유나 금전적 이유보다 공격자가 실행 가능했기 때문에 발생한 쪽에 가까워 보임
- 도난 데이터 거래 커뮤니티에는 다음과 같은 동기가 존재함
- 피해자를 갈취해 돈을 받기
- 다른 공격자에게 데이터 판매
- 침해 데이터 수집
- 공개 유출로 cyber street cred 확보
- Internet Archive는 잘 알려지고 매우 인기 있는 웹사이트라 공격자의 평판을 높이는 데 도움이 됨
- 누구도 공개적으로 이번 침해를 주장하지 않았지만, 공격자는 다른 사람들과 그룹 채팅 중 침해를 수행했고 여러 사람이 탈취 데이터 일부를 받은 것으로 알려짐
- 해당 데이터베이스는 침해 데이터 커뮤니티에서 거래되고 있을 가능성이 있으며, 향후 Breached 같은 해킹 포럼에 무료로 유출될 수 있음
댓글과 토론
Hacker News 의견들
-
Internet Archive처럼 이타적인 서비스를 공격하는 위협 행위자를 보는 건 정말 슬픔. 이런 퇴행적인 행동은 사기를 꺾음
- 공격자를 두둔하려는 건 아니고, IA는 공공재라고 봄. 다만 이번 사례의 메시지 중 하나는 IA가 놓친 문제를 알려주려 한 것처럼도 읽힘
“일반 질문을 하려 했든, Wayback Machine에서 사이트 삭제를 요청하려 했든, 당신의 데이터는 이제 어떤 임의의 사람 손에 있다. 내가 아니었으면 다른 누군가였을 것이다.”
그래서 이렇게 중요한 일을 한 조직만 책임져서는 안 된다는 이야기에 일리가 있는지 생각하게 됨 - 상상 속 재산권이라는 교리에 깊이 젖어 있고 그걸로 생계가 걸린 사람이 많으니, 아주 놀랄 일도 아님
- 다르게 보면, IA를 침해하고도 공개적으로 알리며 시스템을 고치라고 요구하는 부류였다는 점에 감사해야 할 수도 있음. 다른 공격자라면 그냥 날려버리거나, 콘텐츠를 은밀히 바꾸거나, 상상 가능한 더 나쁜 일을 했을 수 있음
많은 개인식별정보를 다루는 거대 조직이 보안을 전혀 신경 쓰지 않는다는 사실을 드러낸다는 점에서는 공익적 역할을 하는 셈임 - 트래픽이 많은 곳은 무엇이든 표적이 됨. 그 조직이 무엇을 하느냐보다 잠재 도달 범위가 더 중요함
범죄 행위는 그냥 범죄 행위임. 많은 방문자를 끌어들이는 곳은 고객이 피해자가 되지 않도록 제대로 보안을 갖춰야 함 - 공격자는 거리의 명성만 노린 것 같고, 두 번째 침해는 IA가 첫 번째 침해 이후에도 제대로 고치지 않았다는 상기 신호처럼 보임
더 나쁠 수도 있었음
- 공격자를 두둔하려는 건 아니고, IA는 공공재라고 봄. 다만 이번 사례의 메시지 중 하나는 IA가 놓친 문제를 알려주려 한 것처럼도 읽힘
-
정보보안 지식이 탄탄한 사람이라면, 좋은 목적을 위해 무상으로 전문성을 제공할 좋은 기회임
- 지금 그런 제안이 너무 많이 들어와서 파묻혀 있을 것 같음
- 이쯤 되면 처음부터 재작성을 고려해야 함. 1992년쯤의 기술 스택을 돌리고 있을 것 같음
-
Library of Congress가 인터넷을 보존해야 하고, 그 일을 할 예산도 가져야 함
“Library of Congress”라는 임무와도 맞음. 특정 시점에 인터넷에 무엇이 있었는지 정확한 기록을 갖는 건 인터넷 관련 입법이나 규제를 논의할 때 도움이 됨- Library of Congress는 현재 제한된 범위의 인터넷 컬렉션을 보존하고 있음[0]. 관련 블로그 글[1]에 따르면 전담 8명과 시간제 팀이 작업 중임
Wikipedia[2]에 따르면 Heritrix와 Wayback 기반이고, 둘 다 Internet Archive가 개발함. 블로그 글도 “Wayback software”를 언급함. 현재 보존 자료는 여기서 볼 수 있음: http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia... - 실제로 하고 있음. 전 세계 많은 국립도서관이 인터넷을 납본 의무 범위에 포함된 것으로 보고, 각자의 최상위 도메인을 크롤링함
- Library of Congress는 현재 제한된 범위의 인터넷 컬렉션을 보존하고 있음[0]. 관련 블로그 글[1]에 따르면 전담 8명과 시간제 팀이 작업 중임
-
분산 저장소 기반의 아카이브가 필요함. Internet Archive의 작업을 좋아하고 지지하지만, 역사를 보존하는 일은 단일 조직, 곧 단일 장애 지점에만 맡기기엔 너무 중요함
- 이런 글이 올라올 때마다 댓글에서 최소 한 번은 이 얘기가 나옴
IA도 저장소를 분산하려고 시도했지만, 말만큼 실제로 자기 저장 공간을 내놓은 사람이 충분하지 않았음 - “복사본이 많으면 자료가 안전하다”는 접근이 있음
https://www.lockss.org/
무작위 합의 프로토콜에 의존하는 훌륭한 시스템임. 정보보안 논문 주제로 삼고 싶었지만, 보안 모델이 너무 잘 설계돼 있어서 내가 더할 만한 게 없었음 - 웹을 분산 아카이브 친화적으로 만들려면, 어떤 서버가 일관되게 제공하겠다고 암시하지만 실제로는 온갖 이유로 시점마다 다른 데이터를 보여주는 경로가 아니라 해시로 대상을 참조해야 한다고 봄
서로 다른 데이터가 항상 서로 다른 참조를 받으면 백업이 충분한지 알기 쉬움. 같은 이름이 서로 다른 조건에서 찍힌 스냅샷 더미를 가리키면, 그 이름에 대해 우리가 백업하고 싶은 대상이 무엇인지 확신하기 어려움 - LibGen과 Sci-Hub는 이 점에서 모범적임. 목적에 맞는 기술을 잘 씀. 토렌트 + IPFS + 단순 HTTP 미러를 곳곳에 둠
데이터가 크긴 하지만 Archive.org만큼 크지는 않음: https://libgen.is/repository_torrent/. 그래도 이런 분산 노드로 갈 자금은 필요하고, 주된 목적은 복원력으로 보임 - “내 디스크 여유 공간 2TB를 Internet Archive에 기부하겠다”고 하면 IA가 2TB 데이터를 밀어 넣는 시스템을 설계했음. 이 시스템은 IA나 다른 제공자가 사라져도 재구성할 수 있는 성질도 있음
하지만 IA를 포함한 몇몇 아카이브 팀에 사용 의향을 물었을 때 답이 없거나 부정적 답변만 받았음
- 이런 글이 올라올 때마다 댓글에서 최소 한 번은 이 얘기가 나옴
-
누가, 왜 Internet Archive를 노리는지 아는 사람 있음? 단순한 장난성 파괴자라고 보기엔 공격이 너무 정교하다는 인상을 받음
- 그냥 소금통에 오줌 누는 일처럼 보임. Internet Archive는 분명히 덕트테이프와 개인의 의지력으로 버티는 구조임. 물론 튼튼하고 오래가는 덕트테이프이긴 함
게다가 주된 임무는 데이터를 퍼뜨리는 것이지, 수익을 내려고 데이터를 숨기는 게 아님
소금통 비유를 모르는 사람을 위한 고대 지혜의 원문:
https://web.archive.org/web/20060619131835/http://xelios.liv...
번역은 아무거나 고르면 됨:
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s... - 왜 그렇게 느끼는지 모르겠음. 공격자의 메시지를 보면 전부 장난성 파괴자처럼 보이고, IA 시스템이 Fort Knox처럼 보인다는 신호도 못 봤음
애초에 자신들을 노릴 이유가 거의 없다고 보고 보안에 꽤 느슨했어도 놀랍지 않음 - 첫 번째 해킹을 했다고 주장한 그룹은 러시아 기반, 반미, 친팔레스타인 성향이라고 알려졌고, 공격 이유는 IA의 저작권 위반이라고 했음
각자 더 근거 있는 결론을 내리면 되겠지만, 내게는 정부기관 냄새가 많이 남 - 리더십 교체를 요구하는 댓글이 많은 걸 보면, 은박모자 이론으로는 리더십 교체를 끌어내려는 조직적 시도 같기도 함
- 어쩌면 화이트햇 해커들이 IA에 보안 문제를 알려도 무시당하자, 크게 망가진 건 없어 보이는 방식으로 해킹해 조치를 강제한 것일 수도 있음
- 그냥 소금통에 오줌 누는 일처럼 보임. Internet Archive는 분명히 덕트테이프와 개인의 의지력으로 버티는 구조임. 물론 튼튼하고 오래가는 덕트테이프이긴 함
-
자금 모델이 어떤지는 모르겠지만 현금이 있다면 보안팀 채용이 최우선 투자 항목이어야 한다고 봄
- 적어도 지금 시점에서 IA의 자금 모델은 거대한 법적 판결을 기다리며 식은땀 흘리는 것에 가까울 듯함
-
어떤 파괴자가 도서관을 공격함? 책임자를 정말 찾아내야 함
- 이런 인터넷 공격은 Minecraft 서버를 운영하는 어린이, 소상공인, 아마추어 프로그래머 등에게 항상 벌어짐. 책임자를 찾는 건 어렵거나 불가능한 경우가 많고, FBI 같은 기관은 보통 더 큰 사건, 예를 들면 마약 밀매나 갈취 중심의 사이버 범죄에 자원을 씀
슬픈 현실은 인터넷에서 부당하게 공격받는 사람이 많고, 수사 집중도와 자원 부족 때문에 상당수가 처벌받지 않는다는 것임 - 이 공격으로 누가 이익을 얻는가? 누가 IA에서 책을 제거하도록 압박했는가?
- 이런 인터넷 공격은 Minecraft 서버를 운영하는 어린이, 소상공인, 아마추어 프로그래머 등에게 항상 벌어짐. 책임자를 찾는 건 어렵거나 불가능한 경우가 많고, FBI 같은 기관은 보통 더 큰 사건, 예를 들면 마약 밀매나 갈취 중심의 사이버 범죄에 자원을 씀
-
Wayback Machine 스냅샷이 소송에 도움이 될 때마다 변호사들이 IA에 몇 달러씩 보내는 세상을 상상해 봄. 그러면 금방 세계적 수준의 관리자 팀을 감당할 수 있을 것임
- 그건 끔찍한 해법임. Wayback Machine은 도메인을 통제하는 사람의 요청이 있으면 스냅샷을 내려줌. 그건 아카이브가 아님
과거의 웹페이지 상태가 중요하다면, 상대가 요청한다고 사라지지 않는 기록이 필요함. perma.cc가 바로 그런 개념임
- 그건 끔찍한 해법임. Wayback Machine은 도메인을 통제하는 사람의 요청이 있으면 스냅샷을 내려줌. 그건 아카이브가 아님
-
거의 1년 전에 이력서를 보냈는데 어제까지 아무 답도 없었음. 지금 밀린 지원서를 뒤져가며 일손을 찾고 있는 것 같음
-
IA보다 나은 대안이 필요하다고 생각하거나, 다른 해법이 있다고 믿거나, 다른 조직이 운영해야 한다고 보는 모두에게: 경쟁 대안이 생기는 걸 막은 사람은 아무도 없음
이미 IA가 해왔고 공유한 작업 덕분에 출발점도 앞서 있으니, 직접 시도해 보면 됨