Security Misconfiguration란?
보안 설정 오류(Security Misconfiguration)는 설정 오류, 잘못된 설정, 미비한 설정으로 인해 발생하는 취약점입니다. 대표적인 취약점 유형으로는 다음과 같습니다.
- 애플리케이션 보안 강화 미비
- 클라우드 서비스의 부적절한 권한 설정
- 기본 계정 및 암호가 활성화되거나 변경되지 않은 경우
이러한 설정 오류를 악용하면 공격자는 시스템에 접근하고, 보호되지 않은 정보를 탈취할 수 있습니다.
이번 실습에서는 TryHackMe에서 제공하는 환경을 활용하여 PensiveNotes라는 웹 애플리케이션의 보안 설정 오류를 분석하고, 이를 이용해 로그인하는 과정을 정리해보았습니다.
실습 과정
1. PensiveNotes 사이트 접속
TryHackMe의 실습 환경에서 PensiveNotes라는 웹사이트에 접속했습니다. 처음에는 일반적인 노트 관리 웹사이트처럼 보였지만, 구글에서 PensiveNotes를 검색해보니 추가적인 정보가 보이기 시작했습니다.
검색 키워드:
PensiveNotes site:github.com
2. Github에서 기본 계정 정보 확인
검색 결과, PensiveNotes의 GitHub 저장소를 발견했습니다.
👉 GitHub 링크: https://github.com/NinjaJc01/PensiveNotes
과정에서 README.md 파일을 읽어보니, 다음과 같은 내용이 포함되어 있었습니다.
After downloading and compiling PensiveNotes, log in using the default credentials: pensive:PensiveNotes
Make sure you change this password immediately!
보안적 문제:
-
개발자는 기본 계정(pensive:PensiveNotes)을 제공하며, 변경할 것을 권장하고 있었습니다.
-
그러나 관리자가 이를 변경하지 않았다면, 공격자는 이 정보를 활용하여 손쉽게 로그인할 수 있습니다.
3. 기본 계정으로 로그인
사이트의 로그인 페이지에서 기본 계정 정보를 입력해보았습니다.
-
Username: pensive
-
Password: PensiveNotes
✅ 결과: 로그인 성공! 🎯
즉, 관리자가 기본 계정을 변경하지 않은 보안 설정 오류를 악용하여 시스템에 접근할 수 있었습니다.
보안 조치
해당 보안 오류를 방지하기 위해 다음과 같은 조치가 필요합니다.
✅ 1. 기본 계정 사용 금지
애플리케이션 배포 시 기본 계정을 반드시 변경해야 합니다.
기본 계정이 유지되면 누구나 접근할 수 있는 위험이 있습니다.
✅ 2. 강력한 비밀번호 정책 적용
최소 8자 이상, 대문자/소문자/숫자/특수문자를 포함한 비밀번호 사용
주기적인 비밀번호 변경 권장
✅ 3. 관리자 계정 보호 강화
관리자 페이지 접근 제한 (IP 화이트리스트, 2FA 적용)
로그인 실패 횟수 제한 및 보안 로그 모니터링
이번 실습을 통해 보안 설정 오류의 위험성과 대응 방법을 직접 확인할 수 있었습니다. 간단한 설정 실수만으로도 시스템이 쉽게 침해될 수 있으므로, 항상 보안 점검이 필수라는 걸 느꼈습니다.
