엄청난 양의 웹사이트가 Cloudflare(예:Reddit)와 같은 역방향 프록시 및 DDoS 완화 서비스를 사용하여 주요 재난으로부터 웹사이트를 보호하고 지속적으로 조명을 유지하고 있습니다. 이러한 서비스는 종종 스스로를 보안 및 성능 향상 제공업체로 내세웁니다.
그러나 이와 정반대로 2017년 2월 17일 Cloudflare 소프트웨어의 주요 버그로 인해 수백만 웹사이트의 방대한 개인 데이터에 언제든지 액세스할 수 있었습니다. 이 데이터 중 일부는 Google 검색 결과에 나타난 웹사이트의 캐시된 사본에도 나타났습니다. Cloudbleed로 알려지게 된 이 특정 이벤트는 기술의 안전한 사용에 대한 토론을 위한 귀중한 기회를 제공했습니다.
이게 다 뭐야?!
초보자를 위해 Cloudflare는 웹사이트와 더 넓은 인터넷 사이에서 중개자 역할을 하는 서비스입니다. 서비스를 사용하는 사이트로 이동하면 실제로 사이트에 연결하고 출력을 중계하는 Cloudflare에 연결하는 것입니다. 더 자주 방문하는 페이지 중 일부를 캐시하므로 누군가가 연결할 때마다 사이트에서 응답하지 않아도 되므로 많은 양의 트래픽이 로컬 서버에 미치는 영향을 줄일 수 있습니다. 이는 또한 합법적인 방문자가 경로에서 봇을 통과할 수 있도록 하고 일종의 신호등 역할을 하여 이러한 공격의 정면을 막을 수 있는 중개자가 있기 때문에 분산 서비스 거부(DDoS) 공격이 사이트에 미치는 영향을 줄이는 데 도움이 됩니다. . Cloudflare 및 기타 역방향 프록시 서비스(예:Incapsula 및 Akamai)는 종종 스스로를 웹사이트 보안 제공업체로 홍보합니다.
Cloudbleed란 무엇입니까?
Cloudbleed는 Google의 Project Zero 팀 구성원이 Cloudflare 소프트웨어에서 주요 웹사이트의 비공개 메시지, 온라인 비밀번호 관리자 데이터 및 여러 다른 서버의 전체 HTTPS 요청을 발견한 버그를 발견한 이벤트입니다. 연결 요청에 대한 Cloudflare의 응답은 종종 할당된 버퍼 공간을 초과하고 해당 시점에 웹사이트에 액세스하는 다른 고객의 데이터를 표시합니다. 모든 것을 공개하고 서비스에 의존하는 웹사이트를 사용하거나 소유하는 모든 사람에게 치명적인 보안 위험을 제공합니다.
이 버그는 2월 말에 패치되었지만 서비스에서는 2016년 9월 22일에 새로운 HTML 파서를 도입했을 때 이미 데이터 유출이 발생했을 수 있음을 인정했습니다.
배운 교훈
잠시 동안 당사의 이야기를 읽었다면 2014년에 Heartbleed로 알려진 매우 유사한 사건을 기억할 것입니다. 이 사건에서 OpenSSL을 사용하는 웹사이트는 스누핑 당사자에게 개인 데이터 조각을 노출할 수 있는 악용에 취약했습니다. 이것은 최신 Cloudbleed kerfuffle과 함께 우리에게 한 가지 귀중한 교훈을 줍니다. 100% 신뢰할 수 있는 것은 없으며, 사용자를 보호하려는 명백한 목적이 있는 서비스도 마찬가지입니다.
이것은 Cloudflare를 비난하기 위한 것이 아닙니다. 버그는 모든 서비스에 발생할 수 있습니다. 여기서 요점은 인터넷이 보장된 수준의 안전을 기대해야 하는 곳이 아니라는 것입니다. 자신을 보호하기 위해 가능한 모든 일을 할 수 있지만 제어할 수 없는 상황에 노출된 상태로 방치될 수 있습니다.
무엇을 해야 합니까?
사실은 Inc.Com의 Joseph Steinberg가 쓴 것처럼 "현재의 위험은 '사이버 보안 피로' 증가로 인해 지불해야 하는 대가보다 훨씬 작아서 미래에 훨씬 더 큰 문제를 초래할 것입니다." 여기서 그가 말하고자 하는 바는 버그의 특성으로 인해 비밀번호가 누출될 가능성이 천문학적으로 낮아서 비밀번호를 변경하면 피로해지는 효과만 있을 수 있다는 것입니다. 실제 위기가 닥치면 모든 소음, 공황 및 과장된 광고에 너무 지쳐 중요한 순간에 비밀번호를 변경하라는 전화를 무시할 수도 있습니다. Cloudbleed는 그 순간이 아닙니다. 하지만 꼭 그렇게 해야 할 필요가 있다면 비밀번호를 변경하세요.
그 외에는 경계를 유지하고 좋아하는 서비스의 이메일을 무시하지 마십시오. 위기가 닥쳤을 때, 그들은 당신에게 당신이 위기에 대해 알아야 할 모든 것이 포함된 친절한 편지를 보낼 것이고 당신이 영향을 받지 않도록 해야 할 일에 대한 제안을 제공할 수도 있습니다.
Steinberg가 제안한 것처럼 사이버 보안 피로가 존재한다고 생각하십니까? 공황에 대한 충분한 근거가 없을 때에도 사람들은 항상 경계해야 합니까? 의견을 댓글로 알려주세요!