사례 연구 // 정부 보안

정부 인프라 — 자격 증명 노출 및 체계적 보안 분석

유럽 정부의 디지털 인프라에 대한 3단계 패시브 OSINT 조사에서 수천 개의 침해된 자격 증명, 중요한 시스템 노출, 경찰 및 연방 기관을 표적으로 삼은 활발히 진행 중인 캠페인이 드러났습니다.

분야: 정부 / 경찰 및 수사 기관범위: 13개 기관 도메인방법: 패시브만

3,300+

탈취된 계정

중요한 발견

336

매핑된 서브도메인

104K+

역사적 URL

요약

주요 유럽 국가의 13개 정부 기관 도메인에 대한 포괄적인 패시브 OSINT 조사에서 자격 증명 침해, 인프라 미설정 오류 및 보안 최고 기준을 위반하는 호스팅 결정 등 체계적인 보안 실패가 드러났습니다. 조사 결과 3,300개 이상의 침해된 계정이 발견되었으며, 자격 증명이 암웹 도둑 소프트웨어 로그에서 활발히 거래되고 있음이 확인되었고, 69명의 정부 직원이 정보도둑 감염을 겪고 있으며, 27개의 중대한 보안 결함이 확인되었습니다. 이는 수사 도구 자격 증명 노출 및 경찰 시스템 엔드포인트 노출을 포함합니다.

활성화된 캠페인: 가장 최근 자격 증명 침해는 조사 9일 전에 발생했습니다. 이는 과거 침해가 아닙니다. 매주 새로운 침해가 발생하는 현재 진행 중인 활동입니다.

도전 과제

조사는 정부 디지털 인프라의 외부 보안 태세를 평가하기 위해 전적으로 패시브 탐지를 통해 시작되었습니다. 조사 범위는 연방 법 집행, 이민 서비스, 사법 시스템 포털, 세관, 주 경찰 및 연방 경찰 도메인을 포함했으며, 모든 분석 과정에서 대상 시스템과의 어떤 상호작용도 없이 수행되었습니다.

조사 단계

단계 1: 자격 증명 침해 분석. 정부 도메인을 공개된 침해 지능 데이터베이스와 비교 분석하여 모든 13개 도메인에서 자격 증명 침해의 규모를 확인했습니다. 복구된 자격 증명의 비밀번호 강도 분석 결과 체계적 약점이 드러났습니다. 74% 이상이 약한 것으로 분류되었으며, 계절 단어와 연도를 결합한 패턴이 흔했습니다. 침해된 직원 기기의 42%는 악성코드 방어 프로그램이 없었습니다.

단계 2: 인프라 탐지. DNS 분석, 인증서 검토, 서비스 지문 분석을 통해 완전한 외부 인프라를 매핑했습니다. 이 과정에서 중요한 정부 시스템이 무작위 개인 고객과 함께 네트워크 고립 없이 상업용 공유 호스팅 플랫폼에 배치된 사실이 드러났습니다.

단계 3: 심층 탐지. 서브도메인 열거를 통해 모든 대상에서 336개의 고유 서브도메인을 발견했으며, 이 중 208개가 실제 IP 주소로 연결되었습니다. WAF 탐지 결과 역전된 보안 모델이 드러났습니다. 공개 마케팅 사이트는 보호되어 있었지만 운영 핵심 시스템에는 웹 애플리케이션 방화벽이 없었습니다. 역사적 URL 수집을 통해 104,000개 이상의 보관 URL을 확보했으며, 8,500개 이상이 민감한 패턴과 일치했습니다.

핵심 발견 사항

발견 사항	중요도	영향
정부 도메인 13개에 걸쳐 3,300개 이상의 침해된 계정이 스틸러 로그에서 활성 상태로 확인됨	CRITICAL	연방 시스템 전반에서 계정 탈취 위험
증거 수집 도구(전화 해제/데이터 추출 플랫폼)의 자격 증명이 스틸러 로그에서 50회 이상 확인됨	CRITICAL	경찰 수사용 증거 수집 도구 및 사건 자료에 대한 비인가 접근 가능성
상업 인프라에 호스팅된 위협 인텔리전스 플랫폼, 네트워크 고립 없음	HIGH	공유 호스팅 환경에 노출된 정부 위협 인텔리전스 공유 플랫폼
법 집행 기관 수신기 인증 시스템이 DNS를 통해 공개적으로 확인 가능	CRITICAL	법적 감청 인프라 엔드포인트가 탐지 가능
6개 지역의 수감자 기록이 공유 컨테이너 플랫폼에서 운영 중	HIGH	컨테이너 탈출 시 지역 간 수감자 데이터 유출 가능성
3개의 주요 연방 경찰 서비스(메일, 설정, 웹메일)가 상업 공유 호스팅 환경에 운영 중	HIGH	연방 경찰 이메일이 무작위 개인 고객과 동일 서버에 호스팅됨
정부 직원을 표적으로 하는 7개의 서로 다른 인포스틸러 악성코드 패밀리가 활동 중	HIGH	복잡한 다중 벡터 자격 증명 수집 캠페인
역전된 WAF 배포 - 마케팅 사이트는 보호되나 운영 시스템은 보호되지 않음	HIGH	핵심 시스템이 공개 웹사이트보다 적은 보호 수준

체계적 패턴: 조사 결과, 기관별 일관된 패턴이 드러남 - 공개 마케팅 사이트는 보안 투자(WAF, 정부 인증서, 적절한 호스팅)를 받았으나, 민감 데이터를 처리하는 운영 시스템은 최소한의 보호만 적용된 상업 플랫폼에 호스팅됨. 이 역전된 보안 우선순위는 공개 보안 자세와 실제 운영 보안 사이의 근본적 단절을 시사함.

인프라 지능

인프라 매핑은 6개의 다른 제공업체에서 14개의 구별된 호스팅 환경을 식별했습니다. 정부 데이터센터부터 상업용 공유 호스팅까지 다양한 환경에서 분석이 이루어졌습니다. 중요한 정부 시스템이 최소 3개의 상업 호스팅 제공업체에서 운영되며, 인접 IP 주소가 무작위 사설 기업에 할당되어 민감한 운영에 대한 제로-이솔레이션 환경을 형성하고 있었습니다.

DNS 분석은 서브도메인 명명 패턴을 통해 완전한 조직 구조를 드러냈습니다. 부서 이름, 팀 식별자, 프로젝트 코드네임, 환경 토폴로지(프로덕션, 스테이징, 테스트, 교육)가 포함되었습니다. 기관 간 접근 패턴은 단일 플랫폼을 통해 여러 연방 기관에 걸친 공유 보안 인프라를 보여주었습니다.

결과

완전한 분석 결과는 영향을 받은 기관에 책임 있는 보고를 위한 구조화된 지능 보고서로 정리되었습니다. 보고서에는 구체적인 복구 우선순위, 호스팅 이전 권장 사항, 자격 증명 회전의 긴급성 평가, 조사 단계별로 정리된 155개 이상의 파일로 구성된 완전한 증거 목록이 포함되었습니다.

방법론 참고 사항

모든 결과는 완전히 수동적인 OSINT 기술을 통해 수집되었습니다: 자격 증명 유출 데이터베이스 분석(공개 소스), DNS 기록 열거, 인증서 투명성 로그 분석, 서브도메인 탐지, 웹 아카이브에서의 역사적 URL 수집, WAF 지문 인식 및 서비스 식별입니다. 시스템에 접근하지 않았으며, 취약점이 악용되지 않았고, 실시간 정부 인프라에 대한 활성 스캔도 수행되지 않았습니다.

귀하의 조직의 노출에 대해 우려되십니까?

정부 기관, 기업 및 모든 규모의 조직은 적대자들이 이를 매핑하기 전에 외부 공격 표면을 이해함으로써 혜택을 얻습니다.