“SW 공급망 위협하는 하드코딩된 비밀… 작년보다 67% 증가” 깃가디언 보고서

하드코딩된 비밀의 수가 증가하고 여러 장소에 저장된 비밀의 확산 속도가 빨라지면서 소프트웨어 공급망 보안을 위협하고 있다. 코드 보안 플랫폼 제공업체 깃가디언(GitGuardian)이 최근 발행한 2023년 비밀 노출 현황 보고서(State of Secrets Sprawl 2023)에 따르면, 공개 깃허브 커밋에서 2022년 한 해 동안 1,000만 개의 하드코딩된 비밀이 발견됐다. 이는 2021년보다 67% 증가한 수치다.
 

하드코딩된 비밀이 심각한 보안 위험인 이유는 일반 텍스트로 저장되는 경우가 있어 공격자가 소스코드에서 비밀을 쉽게 추출할 수 있기 때문이다. 코드 주입 공격이나 데이터 유출 등으로 인해 하드코딩된 비밀이 실수로 공개되거나 노출될 가능성도 있다.

2022년은 ‘비밀이 가장 많이 유출된’ 해

깃가디언이 지난해 10억 개가 넘는 깃허브 커밋을 스캔한 결과, 2022년은 비밀과 관련한 유출이 특히나 많이 발생한 해였다. 2022년 깃허브에 코드를 푸시한 1,330만 명의 개별 작성자 가운데 135만 명이 실수로 비밀을 노출했으며, 특히 1,000개 커밋 중 5.5개 커밋이 최소 하나의 비밀을 노출하는 등 비밀 유출이 2021년보다 50% 많이 발생했다. 

깃가디언은 비밀을 특정 유형과 일반 유형 2가지로 분류했다. 특정 비밀 탐지기는 AWS 액세스 키 또는 몽고DB 데이터베이스 자격증명처럼 쉽게 구분할 수 있는 비밀을 매칭하는데, 깃가디언이 탐지한 전체 비밀의 33%를 차지했다. 파일에 하드코딩된 회사 이메일 및 비밀번호와 같은 일반 유형 비밀이 차지하는 비중은 67%였다.

깃가디언이 가장 많이 포착한 특정 유형 비밀은 google_api_key, private_key_rsa, private_key_generic, googlecloud_keys, and postgresql_credentials이었다. 일반 유형 비밀은 비밀번호, 엔트로피 비밀, 사용자 이름/비밀번호가 가장 많이 발견됐다. 깃가디언은 최근 사례를 통해 비밀이 악용되는 방식을 ▲공격을 통해 비밀 입수(우버, 서클CI) ▲소스코드 리포지토리 탈취(엔비디아, 삼성, 마이크로소프트, 옥타, 라스트패스) ▲공개적으로 노출된 비밀 악용(안드로이드, 토요타, 인포시스) 등 3가지로 분류했다.

SW 공급망 위협하는 하드코딩된 비밀과 비밀 난립

보고서에 따르면, 하드코딩된 비밀과 비밀의 무분별한 확산은 소프트웨어 공급망 보안에 큰 위협이다. 보고서 집필팀은 “비밀은 여러 방법으로 노출될 수 있다. 소스코드는 하도급업자에게 빠르게 손실될 수 있는 자산이다. 소스코드 도용도 대표적인 노출 경로”라고 언급했다.

다크웹에서 API 비밀 공유와 관련한 논의와 활동이 증가하고 있다는 점에도 주목할 필요가 있다. 깃가디언은 “API 키 도난 및 판매에 대한 논의는 지난 몇 년 동안 다크넷에 등장한 비교적 새로운 현상이며, 계속 성장할 것으로 예상된다. 공급망 손상을 통해 맬웨어를 광범위하게 배포하려는 위협 행위자 역시 공개 리포지토리에서 소싱된 자격증명과 피벗 포인트에 대해 논의한다”라고 덧붙였다.

옴디아(Omdia) 수석 애널리스트 페르난도 몬테네그로는 CSO에 “비밀을 하드코딩하는 것은 인프라 업그레이드 같은 보안 및 비보안 측면에서 매우 바람직한 기능이지만, 변경이 어려울 뿐 아니라 소스에 접근할 수 있는 모든 사람에게 노출된다”라고 설명했다. 따라서 공격자는 누군가를 사칭하거나 인프라에 대한 민감한 세부 정보를 얻기 위해 비밀을 사용하게 되는 것이다. 

몬테네그로는 “하드코딩된 비밀 악용의 결과는 부정적인 감사 결과부터 완전한 인프라 손상 및 대규모 데이터 유출에 이르기까지 다양하다. 현재 이런 비밀은 깃 같은 소스코드 제어 시스템으로 들어가는 것이 일반적이므로 훨씬 광범위하게, 심지어 대중에 노출될 수 있다”라고 덧붙였다.

하드코딩된 비밀은 노출되고 손상되기 쉬우며, 비밀에 익숙한 내부자로 인한 위협을 초래할 수 있다. 베라코드(Veracode) CISO 소하일 이크발은 “상용 제품의 하드코딩된 비밀은 대규모 DDoS 공격의 길을 열어준다. 공급망 공격이 증가한다는 것은 비밀이 포함된 CI/CD 파이프라인이 위험함을 의미한다”라고 설명했다.

‘새는 비밀’을 막는 방법

깃가디언은 소스코드가 반드시 보호해야 하는 귀중한 자산이라는 사실을 이해해야 한다고 강조했다. 보고서 집필팀은 “첫 단계는 비밀과 관련한 기업의 보안 태세를 명확하게 점검하는 것이다. 비밀이 어디에 사용되는지, 어디에서 새는지, 최악의 상황에는 어떻게 대비하고 있는지가 포함된다. 다른 보안 문제처럼 부실한 비밀 위생은 일반적으로 사람과 프로세스, 도구 3가지 요소와 관련 있다. 확산하는 비밀을 관리하려면 모든 전선을 동시에 관리해야 한다”라고 말했다.

하드코딩된 비밀의 탐지 및 완화는 개발 주기 전반에 걸쳐 심층 방어를 구축하기 위해 다양한 수준에서 왼쪽으로 이동할 수 있다. 깃가디언은 다음과 같은 전략을 소개했다.
 

• 네이티브 VCS 또는 CI 통합을 통해 모든 리포지토리에 대한 커밋 및 병합/풀 요청을 실시간으로 모니터링한다.
• 사전 수신 확인을 활성화해 중앙 리포지토리에서 비밀이 유출되는 것을 방지한다.
• 과거의 기록을 분석해 사고에 대응하는 전략을 개발하는 등 장기적인 계획을 마련한다.
• 비밀 보안 챔피언 프로그램을 구현한다.

몬테네그로는 “하드코딩된 비밀을 사용하지 않도록 환경을 설계하는 것을 우선시해야 한다. 활용할 수 있는 솔루션은 비밀 관리 도구, 소스코드 검토를 비롯해 다양하다. 무엇보다 개발자와 보안 엔지니어부터 각 관리 체인에 이르기까지 하드코딩된 비밀이 ‘반드시 수정해야 하는’ 보안 설계 결함이라는 점을 모두가 인식하는 것이 중요하다”라고 말했다.
editor@itworld.co.kr