권한 관리 부재로 인한 96개 정부 데이터베이스 무단 삭제 및 유출

Context

정부 기관에 소프트웨어를 공급하는 협력사 내 불충분한 IAM(Identity and Access Management) 체계. 퇴사 처리 과정에서 일부 계정의 접근 권한이 즉시 회수되지 않은 설계 결함 존재.

Technical Solution

• VPN 연결 및 Windows 계정 비활성화를 통한 1차 접근 차단 시도
• 하지만 일부 계정의 권한 잔존으로 인한 내부 네트워크 진입 허용
• SQL Server의 Read/Write 권한을 제한하는 명령어를 통한 타 사용자 차단
• 관리자 권한을 이용한 약 96개의 데이터베이스 강제 삭제 수행
• AI 도구를 활용한 SQL Server 및 Windows Server 2012 시스템 로그 삭제 시도
• Python 스크립트를 이용한 유출 계정의 유효성 검증 및 Credential Stuffing 공격 수행

Impact

• 약 96개의 정부 관련 데이터베이스 삭제 및 DHS production database 파괴
• 1,805개의 EEOC 파일 및 450명 이상의 IRS 개인식별정보(PII) 탈취
• 약 5,400개의 사용자 계정 정보 유출 및 타 서비스 무단 액세스 활용

Key Takeaway

계정 비활성화와 실제 리소스 접근 권한 회수 사이의 Time-to-Revoke 간극이 시스템 파괴의 치명적 경로가 됨. 특히 고권한 계정의 경우 Single Point of Failure가 되지 않도록 다중 승인 체계와 실시간 권한 동기화가 필수적임.