최근 새로운 OSINT(공개 출처 정보) 도구인 '세라스트 인텔리전스(Cerast Intelligence)'가 공개되어 보안 전문가들의 관심을 모으고 있습니다. 이 도구는 웹 도메인에서 노출된 민감한 파일과 설정 오류를 자동으로 탐지하여 검색 가능한 데이터베이스에 저장하는 기능을 제공합니다. 침투 테스터(pentester)와 버그 바운티 헌터(bug bounty hunter)들이 잠재적인 보안 취약점을 효율적으로 찾아낼 수 있도록 돕는 것이 주요 목적입니다.
세라스트 인텔리전스는 인증서 투명성(Certificate Transparency) 로그를 지속적으로 모니터링하여 새로 생성되거나 업데이트된 도메인을 실시간으로 추적합니다. 이후 해당 도메인에서 .env 파일, 공개된 .git 디렉토리, 설정 파일, 데이터베이스 덤프 등 외부에 노출되어서는 안 될 민감한 정보들을 자동으로 스캔하고 수집합니다. 이렇게 수집된 정보는 사용자가 도메인 이름의 일부 또는 전체를 입력하여 검색할 수 있는 데이터베이스에 저장되며, 현재는 읽기 전용으로 무료로 제공됩니다. 개발자는 특정 키워드에 대한 알림 기능을 추가하여 새로운 취약점이 발견될 때 즉시 사용자에게 통보하는 방안도 고려 중입니다.
이러한 도구의 등장은 기업과 개인의 온라인 자산 보안에 중요한 의미를 가집니다. 개발자나 시스템 관리자의 실수로 인해 외부에 노출된 민감 정보는 심각한 보안 사고로 이어질 수 있기 때문입니다. 세라스트 인텔리전스와 같은 도구는 공격자가 악용하기 전에 선제적으로 취약점을 발견하고 조치할 수 있는 기회를 제공하여, 사이버 보안 방어 체계를 강화하는 데 기여할 수 있습니다. 또한, 버그 바운티 헌터들에게는 새로운 보상 기회를, 기업에게는 잠재적 위험을 줄이는 효과적인 수단을 제공할 것으로 기대됩니다.