DOGE 엔지니어의 코드가 NLRB 내부고발자 주장 입증

 (krebsonsecurity.com)
2P by GN⁺ 3일전 | ★ favorite | 댓글 1개
  • NLRB 내부 고발자는 Elon Musk 산하의 DOGE 부서가 민감한 노동 분쟁 데이터 10GB 이상을 무단 다운로드했다고 주장함
  • DOGE 계정은 관리자 권한으로 로그 감시를 피하고 외부 GitHub 코드 세 개를 다운로드했으며, 이 중 하나는 웹 스크래핑 및 무차별 대입 공격에 사용되는 IP 회전 기술 포함
  • 핵심 직원 Marko Elez는 이 기술의 최신 버전을 GitHub에 업로드했으며, 과거 정보보안 규칙 위반 및 논란성 발언으로 논란된 인물임
  • 다른 다운로드된 코드에는 API 리버스 엔지니어링 툴 Integuru자동화 브라우저 Browserless가 포함됨
  • Elez의 코드 품질은 GitHub에서 심각하게 비판받았고, 이후 해당 저장소는 삭제됨

DOGE 계정의 민감 정보 접근

  • 내부 고발자 Daniel J. Berulis는 DOGE 직원들이 3월 3일 NLRB에 최고 권한 관리자 계정(tenant admin) 생성을 요구했다고 주장함
  • 이 계정들은 모든 네트워크 로그 감시에서 제외되며, 데이터 읽기/복사/수정 및 로그 조작이 가능했음
  • Berulis와 그의 상사는 이러한 권한이 없음에도 DOGE는 이를 획득함

GitHub 코드 다운로드와 IP 회전 도구

  • DOGE 계정은 외부 GitHub 저장소 세 개를 다운로드했으며, 그 중 하나는 “pseudo-infinite IPs”를 생성하는 라이브러리
  • 이 라이브러리는 웹 스크래핑무차별 대입 로그인 시도에 활용됨
  • 이 코드는 GitHub 사용자 Ge0rg3가 만든 requests-ip-rotator에서 파생되었으며, Marko Elez가 이를 기반으로 async-ip-rotator를 2025년 1월에 제작함

Marko Elez와 그의 논란

  • Marko Elez는 X, SpaceX, xAI 등 Musk의 여러 회사 출신이며, 현재는 노동부 소속으로 여러 정부 기관에 파견됨
  • 과거 재무부 근무 중 민감 정보 유출로 물의를 빚었으며, 인종차별 발언 논란 이후 해고됐다가 복직됨
  • Politico는 Elez가 과거에 일급 보안 정책 위반을 저질렀다고 보도함

추가 다운로드 코드 및 보안 논란

  • 추가로 다운로드된 GitHub 저장소는:
    • Integuru: 웹사이트 API를 리버스 엔지니어링하는 프레임워크
    • Browserless: 브라우저 풀을 활용한 웹 자동화 툴
  • GitHub 사용자는 async-ip-rotator의 보안성과 확장성에 심각한 문제를 제기함
    • "프로덕션 수준 시스템에 이 코드가 사용되면 즉시 보안 감사를 받아야 함"이라고 평가됨

NLRB의 기능 정지와 정치적 배경

  • 트럼프 대통령은 NLRB 위원 세 명을 해임하며 기관 기능을 사실상 마비시킴
  • 현재 AmazonSpaceX는 NLRB가 헌법에 위배된다고 주장하며 소송 중이나, 3월 5일 항소법원은 이를 기각함
  • Berulis는 이 데이터 유출이 특정 기업에게 노동 분쟁에서 부당한 우위를 줄 수 있다고 경고함
    • "노조 조직자 식별 후 해고가 가능해짐"
GN⁺ 3일전  [-]
Hacker News 의견

  • Ge0rg3의 코드는 "오픈 소스"로, 누구나 비상업적으로 복사하고 재사용할 수 있음

    • 이 코드에서 파생된 새로운 버전인 "async-ip-rotator"가 2025년 1월에 DOGE의 Marko Elez에 의해 GitHub에 커밋됨
    • 원본 코드와 거의 동일하지만 주석이 제거되고 약간의 async가 추가되었으며 사소한 변경이 있음
    • 그러나 원본 GPL3 라이선스가 사라졌음
    • DOGE 사람들이 이를 이해하거나 존중할 것이라고 기대하기 어려움

  • 내부 고발자 Daniel J. Berulis의 불만 사항에 따르면, 2025년 3월 11일경 NxGen 메트릭이 비정상적인 사용을 나타냈음

    • DOGE가 NLRB 시스템에 접근한 후 Primorskiy Krai, 러시아에서 IP 주소를 가진 사용자가 로그인 시도를 시작했음
    • 이러한 시도는 차단되었지만 특히 경고를 주었음
    • DOGE 관련 활동에 사용된 새로 생성된 계정 중 하나를 사용하여 로그인 시도를 했으며, 인증 흐름이 차단된 이유는 국가 외부 로그인 정책 때문이었음
    • 이러한 로그인 시도가 20번 이상 발생했으며, 특히 우려되는 점은 많은 시도가 DOGE 엔지니어에 의해 계정이 생성된 지 15분 이내에 발생했다는 것임

  • DOGE 직원이 접근해서는 안 되는 데이터를 접근함

    • DOGE가 거대한 권한을 가진 계정에 접근하여 10GB의 데이터를 다운로드했을 가능성이 있음
    • 이 데이터를 불법적으로 사용했을 가능성이 있음
    • POTUS가 그러한 접근을 허용할 수 있는지 여부는 불확실함

  • DOGE 직원이 AWS의 IP 주소 풀을 사용하여 제한을 우회할 수 있는 코드를 다운로드함

    • 코드가 잘못 작성되었음
    • 인종차별주의자일 가능성이 있음

  • DOGE 직원이 AWS의 "무제한" IP 주소를 사용하여 웹페이지를 자동으로 스크린스크랩하고 내부 NLRB 데이터베이스에서 민감한 데이터를 복사하는 데 어떻게 이익을 얻을 수 있었는지 의문임

    • 10,000개의 세션이 동시에 데이터베이스에 인증하고 데이터를 스크랩했는지 의문임
    • 외부 IP로부터 극도로 민감한 데이터가 접근 가능하고 단일 계정이 10,000번 로그인하여 데이터를 스크랩할 수 있는 시스템이 있다면 문제가 있음

  • Marko Elez의 코드에 대한 비판이 GitHub "issues" 페이지에 게시됨

    • 코드가 "비안전적이고 확장 불가능하며 근본적인 엔지니어링 실패"라고 평가됨
    • 이 비판은 AI가 생성한 것처럼 보임

  • Tesla와 Space-X의 CEO가 스크립트 키디를 고용했다는 주장이 있음

  • 누군가는 이 일로 감옥에 가야 한다고 주장함

    • 이는 단순한 오해가 아니라 모든 미국 시민에 대한 의도적인 공격임

  • GitHub에 공개된 패키지에 대해 비판함

    • 비공개로 만들 수 있다는 것을 모르는 것처럼 보임

  • 정부 데이터베이스에 대한 추적 불가능하고 완전한 접근이 우려됨

  • Berulis가 상사들이 US-CERT에 보고하지 말라고 했기 때문에 공개했다고 주장함

    • 만약 이 주장이 사실이라면, 상사들이 이를 비밀로 유지하려는 동기가 무엇인지 의문임
    • 연방 정부의 나머지 부분도 동일한 위협 행위자에 의해 취약할 가능성이 있음
    • 상사들이 더 나은 채널을 통해 보안 위기를 보고했는지, 아니면 완전히 조용히 유지하려고 했는지 의문임
답변달기