2025년의 대다수 공격은 AI와 관련되거나 제로데이 취약점을 사용하지 않을 것입니다. 대신 노출된 자격 증명이나 사용자 접근 패턴과 같은 가장 쉬운 익스플로잇을 계속 노릴 것입니다.
몇 달 전 열린 HashiConf에서 보안 수명 주기 관리(Security Lifecycle Management, SLM)의 구성 요소에 대한 비전을 논의했으며, 이 비전은 2024년 발표된 NIST 2.0 업데이트(2.0 update)와 밀접하게 맞닿아 있습니다. 2024년의 세 가지 사례는 오늘날 IT 환경에서 보안 침해가 어떻게 발생하고 있는지 명확히 보여주며, NIST 프레임워크의 다섯 가지 요소 중 보호(Protect), 식별(Identify), 탐지(Detect)에 해당합니다. 이 침해 사례들은 전 세계 조직들이 직면하고 있는 현재 위협 환경을 상징하며, 연구자들이 가장 흔히 발견하는 취약점을 대표합니다. 새해를 맞이하며 하시코프는 기업, 정부, 그리고 기타 조직들이 지난 몇 년간의 침해 사례에서 교훈을 얻어 시스템을 보호할 수 있도록 도울 예정입니다.
1. 시크릿 보호 : AI 서비스의 하드 코딩된 자격증명
흥미로운 기능을 갖춘 최신 오픈 소스 도구가 많이 있지만, 해커가 고객과 회사 데이터에 침입할 수 있는 다양한 방법에 대한 위험 프로필이 명확하지 않은 경우가 많습니다. 한 예로, Wiz Research의 화이트햇 해커들은 다음을 포함한 여러 도구를 통해 한 회사의 취약점을 확인했습니다.
이 침해에 대한 자세한 내용은 여기(here)에서 확인할 수 있습니다. 특히 로그 유출에 주목하시기 바랍니다(로그에는 자격 증명이 유출되는 경우가 많습니다). 이 구성에서 누군가가 비밀번호를 직접 하드코딩한 것을 볼 수 있습니다. 이것은 안전하지 않을 뿐 아니라, 많은 구성에서 이런 일이 발생했다면 이를 교체하기가 어렵습니다. 하드코딩된 비밀번호는 여러 구성에서 키를 대규모로 교체할 수 있는 상위 시스템에 연결되어 있지 않기 때문입니다. 이 보고서에는 헬름(Helm)과 도커 레지스트리(Docker registry)와 같은 영역에 하드코딩된 비밀번호가 있는 다른 사례가 있습니다. 해커들은 쿠버네티스 클러스터 관리자 액세스 권한을 얻었기 때문에 비밀번호를 나열할 수도 있습니다. 이러한 문제를 신속하게 해결한 벤더에게 감사의 말을 전합니다. 이것은 특별한 경우가 아닙니다. 버라이즌 데이터 침해 조사 보고서(Verizon Data Breach Investigations Report)에 따르면, 도난당한 자격 증명은 위협 행위자들이 IT 시스템을 침해하는 가장 흔한 방법입니다.
➡️ 시크릿 관리(Secrets management)
이것이 바로 하시코프 볼트(HashiCorp Vault)와 같은 비밀번호 관리자가 많은 기업의 보안 전략에 매우 중요한 이유입니다. 하드코딩된 비밀번호 대신 환경 변수를 이 인증 필드에 넣기 시작하고, 그 변수를 Vault에 연결하면, Vault가 모든 비밀번호를 자동으로 순환시킬 수 있습니다. 이 방법은 좋은 사이버 보안 관행에 방해가 되는 수동 회전의 마찰을 제거할 뿐만 아니라, 해커가 이 필드를 볼 수 있는 권한을 얻더라도 일반 텍스트로 된 비밀번호를 볼 수 없다는 것을 의미합니다. 이것은 보안 모범 사례를 조직 전체에 전파하는 가장 쉬운 방법입니다. 또한, 문화 변화 이니셔티브에 의존하지 않고 엔지니어가 큰 문서를 읽고 모범 사례를 채택하기를 희망하지 않습니다. 기술을 사용하여 개발자를 자극하고 특정 행동을 요구하므로 항상 더 효과적입니다.
2. 접근 식별 : 접근 도구의 확산으로 인한 위험성
2024년에 발생한 또 다른 사건은 공격자들이 스노우플레이크(Snowflake) 데이터베이스에 접근할 수 있게 된 것입니다. 이 공격이 성공할 수 있었던 이유는 해당 Snowflake 고객사들의 직원과 계약자들이 해당 조직에서 일반적으로 사용하는 SSO(Single Sign-On) 또는 하드웨어 기반 MFA(Multi-Factor Authentication) 워크플로를 사용하지 않았기 때문입니다. 따라서 이들 고객 중 일부는 내부적으로 우수한 보안 도구와 프로세스를 갖추고 있었지만, 계약업체는 시스템에 액세스할 때 만료 기한이 없는 고정된 사용자 이름과 비밀번호를 사용했을 수 있습니다. 외부 기관이 비밀번호를 자주 바꾸지 않았다는 것은 놀라운 일이 아닙니다. 회사는 외부 기관에 내부적으로 시행되는 것과 동일한 보안 요구 사항을 제공하지 않았습니다. 이것은 확실히 프로세스 문제이지만, 기술 문제이기도 합니다. 내부 및 외부 당사자에게 모두 전파될 수 있는 표준화된 최신 보안 프로세스를 구현하도록 설정된 안전한 원격 액세스 시스템이 필요합니다. 그리고 내부 및 외부 당사자에게도 동일한 안전한 표준 오프보딩 프로세스가 필요합니다.
보안 도구 플랫폼 외부의 일회성 액세스 프로세스는 SLM 요구 사항을 따르지 않습니다. 그렇게 하면 오래 지속되는 인증 정보가 생겨서 오래 지속되는 보안 침해가 발생하게 됩니다. 그리고 이것은 볼트 비밀번호 관리의 중요성으로 되돌아갑니다. 이 공격에서 발견된 활성 인증 정보 중 일부는 3년 이상 된 것이었습니다.
➡️ 최신 인프라 접근 시스템(Modern infrastructure access systems)
이런 유형의 공격에 취약한 조직은 중앙 집중화되지 않은 여러 액세스 도구가 위험하게 확산되어 있거나, 중앙 집중식 솔루션이 있지만 모든 유형의 내부 및 외부 사용자를 온보딩할 수 있는 쉬운 방법이 없는 조직입니다. 이런 조직은 일반적으로 VPN, 방어용 호스트, 점프박스, 전통적인 PAM 및 이러한 솔루션을 기반으로 하는 기타 플랫폼을 사용합니다. 이러한 솔루션은 클라우드와 하이브리드 인프라 액세스 패턴의 일시적인 특성을 따라잡기 위해 고군분투하고 있습니다.
조직은 접근 솔루션을 프록시 기반(사용자가 네트워크에 직접 접속하지 않음)의 아이덴티티 우선(identity-first) 최신 원격 인프라 접근 플랫폼으로 업그레이드하는 것을 고려해야 합니다. 이는 클라우드를 위해 현대화 중인 보안 팀이 선호하는 옵션이 되고 있습니다.
HashiCorp Boundary(그리고 그 클라우드 서비스인 HCP Boundary)는 이런 유형의 플랫폼의 예이며, 스노우플레이크 해킹 사건의 원인이 되었던 대부분의 사용성 및 온보딩 문제를 해결합니다. 플랫폼 팀이 미리 세분화된 역할 기반 권한과 버튼 하나로 액세스할 수 있는 워크플로를 설정해 놓은 다음, 빠른 온보딩 패턴과 내장된 세션 녹화 기능을 통해 내부 또는 외부 당사자에게 푸시합니다.
3.시크릿 탐지 : 저장소 복제 시 노출된 평문 자격 증명
이 마지막 이야기는 특정 사건이 아니라 일반적인 이야기입니다. 팀이 소프트웨어 아티팩트를 빌드하기 위해 GitHub Actions를 사용하고 있는데, 종종 GitHub 저장소의 버전을 Actions로 복제합니다. 소스 코드에 평문 시크릿 키가 있는 경우, 이러한 시크릿 키는 빌드 아티팩트를 위한 임시 디렉토리에서 노출됩니다. 이제 시크릿은 GitHub 소스 코드뿐만 아니라 Artifactory와 같은 도구에서도 노출될 수 있습니다. 여기서 중요한 점은 시크릿 확산(secret sprawl) 문제를 해결하려면 단순히 VCS에서 소스 코드를 검토하거나 스캔하는 것만으로는 충분하지 않다는 것입니다. CI/CD 시스템, 빌드 아티팩트, 위키, 문서화, 티켓팅 시스템, 그리고 회사 채팅까지 고려해야 합니다.
➡️ 시크릿 스캐닝(Secret scanning)
이러한 실수를 잡아내는 데 가장 적합한 도구는 비밀 스캐너(secret scanner)입니다. 검증된 HashiCorp Vault 제품군에는 시크릿 탐지 솔루션인 HCP Vault Radar가 포함되어 있습니다. Vault Radar는 다음과 같은 환경에서 비밀 키를 탐지하고 위험 수준을 평가합니다.
Vault Radar와 같은 비밀 스캐너를 사용할 때 중요한 점은 경고 피로(alert fatigue)를 방지할 수 있는 기능과 인텔리전스를 제공하는지 여부입니다. 경고 피로는 비밀 키 노출이 일상적인 작업 중에 간과되는 일반적인 원인 중 하나입니다. 또한, 비밀 스캐너가 탐지 기능뿐만 아니라 예방 기능도 제공한다면 더욱 좋습니다. HCP Vault Radar는 Git pre-receive hook을 통해 시크릿이 버전 관리에 커밋되기 전에 노출되는 것을 방지할 수 있습니다.
요점
3가지 침해 사례를 기반으로 HashiCorp는 제품 개발에 반영한 세 가지 주요 교훈을 확인했습니다.
많은 회사가 이러한 점에서 개선이 필요하다는 것을 알고 있습니다. 작년에 HashiCorp가 약 150개 기업 고객의 보안 관행을 조사한 결과, 평균적으로 조직은 전체 시크릿의 약 1/3만 적극적으로 관리하고 있으며, 나머지 2/3는 관리되지 않고 있다는 사실을 발견했습니다. 더 나은 보안 수명주기 관리를 향한 길이 알고 싶으시다면 하시코프 볼트, 바운더리를 포함한 SLM(Security Lifecycle Management) 제품군을 확인해보세요!
▶ 하시코프 보안수명주기 관리 (HashiCorp Security Lifecycle Management) : 자세히보기
HashiCorp의 Security Lifecycle Management 제품군은 클라우드 환경에서 자격 증명 노출을 줄이고 최소 권한 접근을 보장하며 비밀 관리의 복잡성을 해결합니다. Vault, Boundary, Consul을 통해 중앙 집중형 비밀 관리, 안전한 접근 제어, 서비스 간 안전한 연결을 지원합니다. 이를 통해 기업은 클라우드 인프라 전반의 보안 정책을 일관되게 적용하고 운영 부담을 크게 줄일 수 있습니다.
클라우드네트웍스는 전담팀을 운영하며 국내 제조, 통신, 헬스케어 등 기업과 금융, 공공, 교육 등 다양한 산업군에 HashiCorp 솔루션을 안정적으로 공급하고 있습니다. HashiCorp SLM 제품군에 대한 문의사항은 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다.