나흘간의 서비스 장애를 일으킨 S 보증증권 침해사고의 원인이 SSH 암호관리에 있었다는 사실이 밝혀졌습니다.
이에 Sandfly에서 제공한 백서에 기술된 내용을 다시 확인해보고 간편하게 SSH 암호 관리 현황을 탐지하는 솔루션을 소개합니다.
Secure Shell (SSH)는 Linux 시스템 관리의 핵심 요소로, 암호화된 통신을 통해 서버에 안전한 원격 액세스를 제공합니다. 그러나 SSH 키가 적절히 관리되지 않을 경우 조직은 심각한 보안 위험에 노출될 수 있습니다. 백서에서는 SSH가 Linux 인프라에 미치는 위험을 측면 이동 및 기타 공격 측면에서 자세히 설명합니다.
SSH 키와 관련된 위험
SSH 키는 Linux에서 즉시 측면 이동 위험으로 이어질 수 있는 여러 취약점에 노출되어 있습니다.
- 개인 키 도난: 암호화되지 않은 개인 키는 침해된 시스템에서 도난당할 수 있으며, 공격자가 탐지되지 않고 다른 서버에 인증할 수 있습니다. 암호화된 키도 패스프레이즈가 약할 경우 오프라인 복호화 위험에 노출될 수 있습니다.
- 고아 또는 구형 항목: 전직 직원이나 사용 중지된 사용자로부터 남아 있는 authorized_keys 파일 내의 잔여 키는 제거되지 않으면 의도하지 않은 액세스를 허용할 수 있습니다.
- 약한 구성: 포트 포워딩이나 구형 암호화 표준과 같은 잘못된 SSH 설정은 방어 체계를 약화시키고 공격자가 네트워크 통제를 우회할 수 있게 합니다.
- 무단 키 삽입: 악의적인 공격자는 authorized_keys 파일에 자신의 공개 키를 추가하여 지속적인 백도어 액세스를 설정할 수 있습니다.
이러한 위험은 개인 키를 검색하여 관리가 부실한 시스템을 공격하는 단순한 기술을 사용하는 공격자에 의해 더욱 증폭됩니다.
공격자가 SSH 키를 악용하는 방식
일반적인 공격은 단일 호스트의 침해로 시작됩니다. 공격자는 개인 SSH 키를 추출하고 known_hosts 파일이나 명령어 기록을 분석하여 추가 목표를 식별합니다. 도난당한 자격 증명을 사용하여 네트워크 내에서 수평 이동을 수행하며, 액세스의 합법성으로 인해 전통적인 보안 통제를 회피할 수 있습니다. 도난당한 SSH 키를 보유한 공격자는 보안 팀의 알림 없이 중요한 시스템으로 빠르게 확산될 수 있습니다.
Sandfly의 SSH Hunter는 위협을 탐지합니다
이러한 취약점을 해결하기 위해 Sandfly의 에이전트 없는 Linux 보안 플랫폼은 다중 탐지 메커니즘을 통합합니다:
- 인벤토리 및 모니터링: Sandfly는 사용자, 호스트, 사용 이력별로 모든 시스템의 SSH 키를 추적하여 무단 또는 구형 키를 식별합니다.
- 액세스 제어 구역: SSH 보안 구역은 중요한 영역(예: 생산 환경)을 생성하고 키 사용을 권한 있는 인원에게 제한하며, 위반 시 경고를 제공합니다.
- 구성 감사: Sandfly는 authorized_keys 파일과 SSH 서버 설정을 정기적으로 검사하여 과도한 키, 무제한 포트 포워딩 또는 악의적인 명령과 같은 이상 현상을 탐지합니다.
- 암호화 강제 적용: Sandfly는 사용자 디렉토리 및 민감한 위치에 암호화되지 않은 개인 키를 검사하고 암호화가 가능한 경우 패스프레이즈 보호를 강제 적용합니다. Sandfly는 또한 현대 보안 수준으로 교체해야 하는 유효 기간이 지난 약한 키를 식별할 수 있습니다.
- 모니터링 도구와의 통합: Sandfly는 SSH 보안 데이터를 기존 시스템(예: SIEM 플랫폼)에 전송하여 가시성을 향상시키고 이상 현상에 대한 신속한 대응을 가능하게 합니다.
비즈니스 영향
조직에서 SSH 키 관리는 기술적 운영을 넘어 데이터 보안, 운영 연속성, 규제 준수 등에 직접적인 영향을 미칩니다. 이 분야의 취약점은 데이터 유출, 시스템 중단, 벌금 등 심각한 문제를 초래할 수 있어 기업 리스크 관리의 우선순위입니다. 일관된 정책과 크로스 플랫폼 적용은 클라우드, 온프레미스, 임베디드 시스템 등 다양한 환경에서 필수적입니다. Sandfly는 모든 시스템에서 단일 통합 솔루션으로 작동하며, 엔드포인트 에이전트 배포의 위험 없이 이를 지원합니다.