허니팟 구축을 통한 MongoDB 해킹 사건 분석

MongoDB 기반으로 개발할 때 서버에 랜섬 범죄자가 침투하여 DB 내용을 날려버린 뒤 비트코인을 요구하는 사례가 종종 있습니다. 개인적으로는 제 옆자리에서 팀 프로젝트하던 사람들이 실제로 이런 걸 당하는 사례를 2018년 초에 직접 봤습니다. 당시 저도 MongoDB를 다루고 있었기 때문에 식겁했었는데, 구체적으로 어떻게 침투당한 것인지는 알지 못했습니다.

허니팟(Honeypot), 그러니까 공격자가 사용하는 수법을 분석하기 위해 고의로 취약점을 드러내어 끌어들이는 미끼 서버를 구축하여 이러한 종류의 해킹 범죄에 사용된 MongoDB 쿼리를 간략히 분석한 글을 소개합니다. (한국어) 아무래도 외부 인터넷에서 DB 서버에 접근할 수 있다면 스캐닝을 통해 존재가 금방 노출되고, 그러다 보면 취약점 같은 걸 통해서 어느 순간 훅 뚫리는 것 같습니다. 역시 DB는 직접 노출이 안 되게끔 꽁꽁 숨겨둬야 하는 법이죠.

참고 - 허니팟의 개념:
http://www.itworld.co.kr/tags/58302/%ED%97%88%EB%8B%88%ED%8C%9F/120233