Showing Posts From

월요일

월요일 아침 9시, 출근하자마자 CVE 뉴스 체크하는 이유

월요일 아침 9시, 출근하자마자 CVE 뉴스 체크하는 이유

월요일 9시 출근했다. 커피 한 잔 놓고 컴퓨터 켰다. 노트북 부팅되는 동안 폰으로 CVE 피드 먼저 확인한다. 습관이다. 6년째. 주말 동안 올라온 CVE가 12건. 그중 Critical 2건, High 5건. 심장이 쿵 내려앉는다. Spring Framework 취약점. RCE. 우리 서비스 Spring 쓴다. 버전 확인부터 해야 한다.왜 월요일이 제일 긴장되나 금요일 저녁에 해커들이 취약점 터뜨린다. 주말 동안 패치 안 나온다. 월요일 아침에 세상이 바뀌어 있다. 작년 12월에 Log4j 터졌을 때. 금요일 밤 11시였다. 주말 내내 비상 근무했다. 그 기억 때문에 월요일이 무섭다. 주말 동안 뭔가 터지지 않았을까. 우리 서비스가 뚫리지 않았을까. 체크리스트가 머릿속에 있다.CVE 데이터베이스 NVD 피드 보안 커뮤니티 (Reddit, Twitter) 회사 사용 기술 스택 리스트 벤더 보안 공지30분이면 다 본다. 근데 30분이 제일 긴장된다. Spring RCE 취약점 확인 CVE-2024-XXXX. Spring Framework 6.0.15 이하 버전. 원격 코드 실행 가능. 우리 버전은? 재빨리 pom.xml 확인한다. 6.0.13. 망했다. CVSS 점수 9.8. POC 코드가 벌써 깃허브에 올라왔다. 누구나 공격 가능하다는 뜻이다. 바로 개발팀장한테 슬랙 보낸다. "긴급. Spring RCE 취약점. 우리 버전 해당됨." 5분 만에 답장 온다. "회의 중. 10시에 보자." 회의가 중요한가, 서비스 보안이 중요한가. 속으로 욕 나온다.취약점 영향도 분석 회의 끝날 때까지 혼자 분석한다. 우리 서비스 어디에 Spring 쓰는지. API 서버, 백오피스, 배치 시스템. 전부다. 공격 벡터 확인한다. HTTP 요청으로 실행 가능. 인증 없이도 된다. 최악이다. POC 코드 로컬에서 돌려본다. 테스트 서버에 대고. 5초 만에 쉘 땄다. 이거 실제로 공격당하면? 고객 데이터 전부 털린다. 금융 서비스인데. 등에 식은땀 난다. 빠르게 리포트 작성한다.취약점 개요 영향받는 시스템 목록 공격 가능성 (매우 높음) 예상 피해 규모 긴급 패치 권고10시 되자마자 개발팀장 자리로 간다. "이거 봐야 합니다. 지금 당장." 개발팀과의 줄다리기 개발팀장이 리포트 본다. 표정이 굳는다. "패치하면 되는 거 아냐?" "네. 근데 지금 해야 합니다." "배포 일정이 목요일인데." "목요일까지 기다리면 위험합니다." 항상 이런 식이다. 보안팀은 급하다고 한다. 개발팀은 일정이 있다고 한다. "테스트는 했어?" "로컬에서 POC 돌려봤습니다." "그게 테스트야?" 화가 나지만 참는다. 설득해야 한다. "지금 POC 코드가 공개됐습니다. 누구나 공격 가능합니다. CVSS 9.8은 최고 위험도입니다. 우리 API 서버 전부 노출돼 있습니다." 개발팀장이 한숨 쉰다. "오늘 중으로 패치하고 내일 새벽 배포." "감사합니다." 겨우 설득했다.패치와 검증 개발팀이 Spring 버전 올린다. 6.0.16. 취약점 수정된 버전이다. 근데 버전만 올린다고 끝이 아니다. 의존성 체크해야 한다. 다른 라이브러리랑 충돌 없는지. 빌드 에러 3번 났다. lombok, querydsl 버전 문제. 2시간 걸렸다. 오후 3시에 스테이징 배포. 바로 취약점 스캔 돌린다. Burp Suite로 수동 테스트도 한다. POC 코드 다시 돌려본다. 안 뚫린다. 패치 성공했다. 안도의 한숨 나온다. 근데 프로덕션 배포는 내일 새벽 2시. 트래픽 적을 때. 그때까지 우리 서비스는 취약하다. 불안하다. 왜 CVE 체크가 중요한가 보안팀 없는 회사도 많다. 그럼 누가 CVE 체크하나. 아무도 안 한다. Log4j 터졌을 때. 전 세계 수십만 서비스가 뚫렸다. CVE 모니터링 안 한 회사들이다. 취약점은 공개되는 순간부터 시간 싸움이다. 해커들은 CVE 나오자마자 스캔 돌린다. 자동화돼 있다. 우리가 패치하기 전에 공격당할 수 있다. 먼저 아는 게 중요하다. 매일 아침 CVE 체크하는 이유다. 특히 월요일은 주말치 몰아서 본다. 30분 투자로 회사 지킨다. 루틴의 힘 6년 동안 하루도 안 빠지고 체크했다. 출장 가도 호텔에서 본다. 휴가 중에도 폰으로 확인한다. 동료들은 집착 아니냐고 한다. 근데 딱 한 번이라도 놓치면? 그날 터질 수 있다. 작년에 Confluence 취약점 나왔을 때. 우리 회사 Confluence 쓴다. CVE 확인하고 1시간 만에 서버 내렸다. 다음날 뉴스 봤다. 같은 취약점으로 3개 회사 해킹당했다. 우리는 살았다. 루틴이 회사 살렸다. 체크리스트는 단순하다.NVD 피드 확인 회사 기술 스택 매칭 영향도 분석 긴급도 판단 개발팀 공유30분이면 된다. 근데 이 30분이 회사를 지킨다. 보안 뉴스 소스들 내가 보는 소스는 정해져 있다. NVD (National Vulnerability Database). 미국 정부 운영. 모든 CVE가 여기 올라온다. CVE Details. CVE를 제품별로 정리해놨다. 우리 회사 쓰는 제품 검색하면 바로 나온다. Reddit r/netsec. 보안 커뮤니티. 여기서 핫한 취약점 먼저 알 수 있다. Twitter 보안 계정들. @GossiTheDog, @vxunderground 같은. 속보가 제일 빠르다. 각 벤더 보안 공지. Oracle, Microsoft, Apache 등. 이메일 알림 설정해놨다. 회사 Slack에 보안 채널 만들었다. RSS 피드 연동해서 자동으로 올라온다. 개발팀도 볼 수 있게. 정보는 많다. 필터링이 중요하다. 우리 회사 관련된 것만 집중한다. 오늘의 교훈 저녁 6시. Spring 패치된 버전 프로덕션 대기 중이다. 내일 새벽 2시 배포. 그때까지 WAF 룰 추가로 설정했다. 혹시 모를 공격 막기 위해. 퇴근하면서 생각한다. 오늘도 무사히 넘겼다. 내일 또 체크해야지. 월요일이 항상 긴장되는 이유. 주말 동안 세상이 바뀌니까. 해커는 쉬지 않으니까. CVE 체크는 루틴이다. 습관이다. 생존 본능이다. 9시 출근해서 제일 먼저 하는 일. 커피 내리고 CVE 확인. 6년째 똑같다. 앞으로도 똑같을 거다. 이게 내 일이니까.오늘도 무사히. 내일도 체크. 루틴이 날 지킨다.