Elasticsearch 플랫폼을 사용하고 계시다면 보안 문제가 발생하지 않도록 주의해야 합니다. 정보 유출 등의 보안 사고를 방지하기 위해 미리 시스템을 점검하는 방법에 대해 알려 드리겠습니다. 누군가에게는 도움이 되는 글이 되었으면 합니다.
실제로 아주 간단한 elasticsearch의 보안 설정을 제대로 하지 않아 해킹 피해를 입는 사례가 많습니다. 보안뉴스를 통해 잊을만하면 가끔씩 Elasticsearch 보안취약점을 통한 피해사례를 볼수 있는데요 오늘은 Elasticsearch 플랫폼 보안 취약점 점검 방법에 대해 알아보도록 하겠습니다.
본문의 내용은 국내 한국인터넷진흥원(KISA)의 클라우드 취약점 점검 가이드를 참고하여 작성되었습니다. 엘라스틱 스택을 사용 중이시라면, 본문 내용의 보안 취약점 체크리스트를 통해 운영하는 Elasticsearch 서비스에서 발생할 수 있는 보안 위협들을 미리 파악해보시면 사전 보안 예방을 하는데 도움이 될수 있을것입니다.
엘라스틱서치의 보안 취약점을 진단하기 위한 체크리스트
1) 인증 설정 : Elasticsearch 계정을 생성하지 않고 서비스를 이용할 경우, 모든 사용자가 Elasticsearch에 접근하여 데이터 열람이 가능하므로 보안상 문제가 발생할 수 있습니다.
2) 기본 설정값(계정 및 패스워드) 변경 : 기본 제공되는 계정 또는 암호가 있으며 이들 정보는 인터넷 검색 등을 통해 쉽게 알아낼 수 있습니다. 이러한 방식으로 악성코드에 감염된 컴퓨터에서 관리자 권한을 획득한 공격자는 해당 시스템에 대한 원격 접속과 파일 업로드, 다운로드 등 다양한 경로로 추가적인 피해를 발생시킬 수 있습니다.
3) 불필요한 계정 제거 : 관리자 권한을 가진 계정들 중에서도 실제로 해당 시스템을 이용하지 않는 계정들을 정리하면 보안상의 취약점을 줄일 수 있습니다.
4) 접근 제한 설정 : IP 주소에 대한 접근 제한 설정을 하지 않으면, 인가되지 않은 사용자가 접근할 수 있습니다.
5) 디렉토리 및 파일 권한 관리 : 일반 사용자가 Elasticsearch 설치 디렉토리에 임의의 파일을 생성하거나 삭제 또는 변경할 수 있게 되면, 중요한 파일이 삭제되거나 백도어 프로그램이 삽입되는 등의 피해가 발생할 수 있습니다.
프로그램이 설치되는 디렉토리 접근 제한 설정 체크
1) 플러그인 디렉터리 접근 권한 설정 : Plugin을 설치하면 플러그인 디렉터리가 생성됩니다. 일반 사용자가 관리자 권한을 획득하여 시스템 폴더에 접근하면, 해당 폴더 내에서 파일 및 폴더 등을 자유롭게 조작할 수 있게 되어 악의적인 목적으로 활용될 수 있으니 주의해야합니다.
2) 설정 파일 접근 권한 설정 : 설정 파일에 다른 사용자(other) 권한이 존재할 경우, 비인가된 사용자가 설정 파일에 접근하여 설정 변경을 통해 서비스 장애를 일으킬 위험이 존재하며, 또한 설정 파일을 통해 정보를 획득하고 2차 공격의 정보로 사용할 위험성이 존재하게 됩니다.
3) Search-Guard 스크립트 접근 권한 설정 : Search Guard를 이용해 사용자의 접속 환경이나 서비스별 허용 여부 등을 변경하려면, 먼저 해당 기능을 활성화한 뒤 검색 가드가 제공하는 스크립트를 실행해야 합니다. 스크립트 파일의 권한에 다른 사용자(other)에게 읽기 또는 실행 권한이 있으면, 해당 스크립트를 읽을 수 있거나 실행할 수 있게 되어 시스템에 악영향을 미칠 수 있습니다.
로그 관리 및 패치
1)로그 기록 철저 : 침입 탐지 시스템은 로그를 정기적으로 분석하여 침입 유무를 파악해야 하며, 침입 시도 의심 사례를 분석하여 사전에 해당 장비에 대한 접근을 차단하는 등 체계적인 로그 관리 작업이 이루어져야 합니다.
2) 최신버전 패치 적용 : 최신 버전으로 업데이트하지 않은 경우, 보안에 취약한 상태로 웹사이트를 운영할 수 있습니다.
결론은, Elasticsearch 스택 운영 시 본문 내용에서 언급한 보안 취약점 항목에 대한 점검을 수시로 수행하여 외부로부터의 침입 시도를 사전에 예방하고, 보다 안전한 Elastic 서비스 운영 환경을 구축해서 보안 침해 리스크를 줄이시기 바랍니다.
답글 남기기