무슨 일이 일어났나
3월 3일, LexisNexis Legal & Professional이 데이터 유출을 공식 확인했습니다. 위협 행위자 FulcrumSec가 약 2GB의 데이터를 유출한 뒤 공개한 것이 계기였습니다.
BleepingComputer에 따르면, 공격은 2월 24일경에 이루어졌습니다. React2Shell이라는 취약점을 이용해 패치되지 않은 React 프론트엔드 애플리케이션을 통해 AWS 인프라에 접근했습니다.
React2Shell은 React 애플리케이션의 서버 사이드 렌더링 과정에서 원격 코드 실행이 가능한 취약점입니다. 웹 프론트엔드가 클라우드 인프라 전체의 진입점이 된 셈입니다.
유출된 데이터의 규모
CyberPress에 따르면, FulcrumSec가 탈취한 데이터는 다음과 같습니다.
| 항목 | 규모 | |------|------| | Redshift 테이블 | 536개 | | VPC 데이터베이스 테이블 | 430개 이상 | | AWS Secrets Manager 비밀 | 53개 (평문) | | 데이터베이스 레코드 | 390만 건 | | 고객 계정 | 21,042개 | | 직원 비밀번호 해시 | 45개 |
VPC 인프라 맵 전체도 함께 유출되었습니다. 네트워크 구조가 노출되면 후속 공격의 발판이 될 수 있습니다.
누가 영향을 받았나
FulcrumSec는 약 40만 명의 클라우드 사용자 프로필에 접근했다고 주장합니다. 실명, 이메일, 전화번호, 직책이 포함되어 있습니다.
SecurityWeek에 따르면, 이 중 118명은 .gov 이메일 계정 — 미국 연방 판사, 법무부 검사, SEC 직원 등 정부 관계자입니다.
LexisNexis 측은 주민등록번호, 운전면허번호, 금융 데이터, 활성 비밀번호, 검색 쿼리는 포함되지 않았다고 밝혔습니다. 유출된 데이터 대부분이 2020년 이전의 레거시 데이터라는 설명입니다.
대응 및 교훈
- React 앱 패치: 서버 사이드 렌더링을 사용하는 React 애플리케이션의 보안 패치를 즉시 확인합니다
- AWS Secrets Manager 감사: 비밀값이 평문으로 저장되어 있거나 과도한 접근 권한이 부여된 것은 아닌지 점검합니다
- 클라우드 인프라 세분화: 프론트엔드 서버에서 Redshift, VPC 전체에 접근 가능한 구조는 위험합니다. 네트워크 세그멘테이션이 필요합니다
- 자격 증명 순환: AWS 키와 비밀번호를 즉시 교체하고, 유출된 해시 대상 계정의 비밀번호를 강제 변경합니다
참고