Criminal IP ASM

구독
다운로드 4
업데이트 2025. 2. 10.

신규 OSINT 탐지

Criminal IP ASM에서 OSINT 기법을 이용하여 새로운 정보 자산을 발견하는 경우 탐지합니다.

쿼리

Criminal IP ASM의 OSINT 탐지 목록에서 어제 이후 새로 발견된 정보를 필터링하여 탐지합니다.

criminal-ip-asm-osint-assets | search created >= ago("1d")

메시지

  • 신규 OSINT 탐지: $title

출력 필드 순서

  • _log_time, keyword, category, title, thumbnail, url, menu_path, google_query, file_name, file_ext, s3_url_file, s3_url_screenshot, endpoints, created, updated, md5

위협 분석

  • 공격자는 Criminal IP ASM과 동일한 방식으로 인터넷 검색엔진 서비스에서 조직과 관련된 정보를 검색할 수 있습니다. 대부분의 검색 엔진은 파일 확장자, 웹페이지 제목 등 상세 검색 조건을 지정하여 검색하는 기능을 제공하므로, 조직에 대한 여러가지 정보를 수집할 수 있습니다. 예를 들어, 네트워크 구성, 자격 증명 등 민감한 정보 유출을 검색하려고 시도할 수 있으며, 조직 내부에서 사용되는 문서의 서식 등을 찾아낼 수도 있습니다.
  • 이와 같이 오픈소스 인텔리전스 방식으로 수집된 다양한 정보는 피싱, 크리덴셜 스터핑 등 다양한 공격에 이용될 수 있습니다. 예를 들어, 조직 내부의 문서 양식과 임직원 이름을 이용하면 피싱 성공 확률이 증가합니다.

오탐 유형

  • Criminal IP ASM이 검색엔진을 통해 탐지한 정보는 인터넷에 노출되어도 무관한 공개 정보일 수 있습니다. ChatGPT 등을 이용하여 플레이북을 구성하면, 개인정보 유출이나 크리덴셜 등 민감 정보 유형만 세분화하여 자동으로 대응하도록 구성할 수 있습니다.

대응 방안

  • 조직에서 관리하는 IT 자산에서 민감 정보가 인터넷에 노출되어 있다면 웹 서버에서 직접 해당 정보를 제거하고, Google, Bing 등 주요 검색엔진에 정보 삭제 요청을 입력합니다.
  • 외부 사이트에 조직의 민감 정보가 게시된 경우, 해당 서비스의 관리자에게 데이터 삭제를 요청합니다. 필요 시 조직의 법무팀과 협의하여 대응합니다.
  • 임직원 또는 고객 정보가 유출된 경우, 「개인정보 보호법」 제34조(개인정보 유출 통지 등), 「신용정보의 이용 및 보호에 관한 법률」 제39조의4(개인신용정보 누설통지 등) 법령에 의하여 반드시 72시간 내에 유출 신고를 수행해야 합니다. 아래 웹 페이지의 신고 기준, 신고 내용을 검토한 후 개인정보 유출을 신고합니다.
  • 크리덴셜이 유출된 경우 관련된 모든 계정의 암호를 즉시 변경하고 2차 인증(Two-Factor Authentication)을 활성화합니다. 해당 계정과 관련하여 SIEM에서 모든 로그인 기록을 재검토하고 침해 발생 여부를 확인합니다. 또한 Have I Been Pwned 서비스 등을 사용하여 다른 유출 사례가 있는지 확인합니다.
  • 내부 코드가 유출된 경우 유출 경로를 확인하고 코드 저장소 접근 권한을 조정하여 접근 통제를 강화합니다. 특히 API 키나 인증 정보가 노출된 경우에는 즉시 해당 API 키를 폐기하고 재발급해야 합니다.

MITRE ATT&CK