사이버 보안 연구원들은 구글 소유의 기업 데이터 분석 플랫폼인 Looker에서 전 세계 수만 개의 회사가 데이터를 도난당하고 시스템 제어권을 빼앗길 위험이 있는 두 가지 심각한 보안 취약점을 발견했습니다.
미국 사이버 보안 회사 Tenable의 보고서에 따르면 이러한 취약점으로 인해 해커가 Looker 시스템에 깊숙이 침입하여 민감한 로그인 정보, 비밀 구성, 심지어 전체 서버를 제어할 수 있습니다.
Looker는 현재 195개국에서 6만 개 이상의 회사에서 사용하고 있어 위험 범위가 특히 우려스럽습니다.
LookOut"이라는 공통 명칭을 가진 두 가지 주요 취약점 중 하나는 원격 코드 실행(RCE) 체인과 관련이 있습니다.
이 기술을 통해 공격자는 원격으로 악성 명령을 실행하여 Looker 서버를 완전히 제어할 수 있습니다.
연구자들은 해커가 클라우드 플랫폼에 배포된 Looker 버전을 노리고 있으며, 이 버전은 취약점을 이용하여 서로 다른 시스템 간에 교차 액세스하고 전체 내부 관리 데이터베이스를 다운로드할 수 있다고 밝혔습니다.
Tenable은 Looker의 제어 권한을 잃으면 기업 데이터가 광범위하게 유출될 위험이 있다고 경고합니다.
Tenable의 수석 연구 엔지니어인 Liv Matan에 따르면 Looker는 기업 데이터의 "중추 신경계" 역할을 하기 때문에 이 취약점의 위험 수준이 특히 높습니다.
리브 마탄은 "침입으로 인해 공격자가 데이터를 조작하거나 회사의 사설 내부 네트워크에 더 깊이 침입할 수 있습니다."라고 경고했습니다.
Tenable은 Google이 취약점에 대한 보고를 받은 후 관리된 Looker Cloud 버전에 대한 패치를 신속하게 응답하고 배포했다고 밝혔습니다.
그러나 자체 서버 또는 현지 인프라에 Looker를 자체적으로 저장하는 조직은 패치를 적극적으로 업데이트하지 않으면 여전히 공격받을 위험이 있습니다.
Tenable은 "이러한 조직은 취약점을 패치하고 인프라가 관리 권한을 빼앗길 위험으로부터 보호할 책임이 있습니다."라고 강조했습니다.
Looker는 캘리포니아 산타크루즈에 본사를 둔 기업 데이터 분석 플랫폼으로, 기업이 클라우드에 저장된 데이터를 시각화, 조회 및 분석할 수 있도록 합니다. 2019년 Google은 데이터 서비스 및 클라우드 컴퓨팅 생태계를 확장하기 위해 26억 달러에 Looker를 인수했습니다.
이 거래는 데이터 솔루션, 클라우드 스토리지 및 기업 소프트웨어 제공 능력을 강화하기 위한 Google 전략의 일부로 간주됩니다.
취약점 악용 위험에 직면하여 Tenable은 시스템 관리자가 시스템을 긴급히 검토해야 한다고 권장합니다. 특히 기업은 Looker 프로젝트에서 .giet/hooks/ 폴더를 확인하여 낯선 또는 불법 파일, 특히 pre-push, post-commit 또는 applypatch-msg와 같은 명령어를 감지해야 합니다. 이러한 지점은 해커가 악성 코드를 설치했을 가능성이 있습니다.
또한 보안 팀은 응용 프로그램 기록을 분석하고, 내부 연결 남용 징후, 비정상적인 SQL 오류 또는 looker__iloker와 같은 내부 데이터베이스를 대상으로 하는 SQL 인젝션 공격 패턴을 찾아야 합니다.
전문가들은 이번 사건이 클라우드 시대의 데이터 보안 위험에 대한 강력한 경고라고 경고합니다. 단 하나의 취약점만으로도 수천 개의 기업이 심각한 침해 위험에 직면할 수 있기 때문입니다.
