2025년 AWS CodeBuild 결함(CodeBreach), GitHub 리포지토리 탈취 위험 초래

AWS CodeBuild 설정 오류, GitHub 리포지토리를 공급망 공격에 노출

아마존 웹 서비스(AWS) CodeBuild의 치명적인 보안 설정 오류로 인해 위협 행위자들이 AWS JavaScript SDK를 포함한 AWS 자체 GitHub 리포지토리를 침해할 수 있는 위험이 있었습니다. CodeBreach로 명명된 이 취약점은 클라우드 보안 업체 Wiz에 의해 발견되었으며, AWS는 책임 있는 공개 절차에 따라 2025년 9월에 패치를 완료했습니다.

CodeBreach의 기술적 세부 사항

이 취약점은 AWS CodeBuild와 GitHub 리포지토리 간의 통합 설정 오류에서 발생했습니다. Wiz 연구진에 따르면, 이 문제는 과도하게 허용된 **OAuth 토큰 범위(OAuth token scopes)**와 **빌드 프로젝트 설정(build project settings)**을 악용하여 AWS의 내부 GitHub 리포지토리에 무단 접근할 수 있게 했습니다. 정확한 기술적 메커니즘은 공개되지 않았지만, 이 설정 오류로 인해 공격자가 다음 권한을 얻을 수 있었습니다:

• 리포지토리 전체 접근 권한, 읽기/쓰기 권한 포함
• 악성 코드 주입 가능성, AWS SDK 또는 기타 중요 리포지토리에 악성 코드 삽입
• 공급망 침해 가능성, 변조된 종속성이 AWS 서비스 전반에 전파될 위험

Wiz는 이 취약점이 사전 AWS 계정 접근을 요구하지 않았기 때문에, AWS의 관리형 빌드 서비스를 사용하는 조직에 특히 심각한 위협이 될 수 있다고 강조했습니다.

영향 분석

이 취약점이 악용되었다면, 그 결과는 치명적이었을 수 있습니다:

• 공급망 공격: 공격자가 AWS SDK 또는 기타 종속성을 변조하여 AWS 고객의 소프트웨어 배포에 백도어를 심을 수 있었을 것입니다.
• 데이터 유출: AWS의 독점 코드를 포함한 민감한 리포지토리 데이터가 노출될 수 있었습니다.
• 평판 손상: AWS 자체 리포지토리에 대한 성공적인 공격은 플랫폼의 보안에 대한 신뢰를 훼손했을 것입니다.

Wiz는 패치 이전에 이 취약점이 실제로 악용되었는지 여부를 공개하지 않았으며, AWS 또한 악용 사례가 보고되지 않았다고 밝혔습니다.

보안 팀을 위한 권고 사항

AWS가 이 문제를 해결했지만, 보안 전문가들은 다음 조치를 취해야 합니다:

1. CodeBuild 설정 감사: GitHub 리포지토리 통합 시 과도하게 허용된 OAuth 토큰 또는 빌드 프로젝트 설정을 검토합니다.
2. 공급망 위험 모니터링: AWS SDK 및 기타 서드파티 라이브러리에 대한 종속성 검사 및 무결성 확인을 구현합니다.
3. 최소 권한 접근 제어: 리포지토리 권한을 필요한 역할과 서비스에만 제한합니다.
4. 클라우드 보안 권고 사항 최신화: 신규 위협에 대한 AWS 보안 공지를 구독합니다.

AWS는 이 취약점에 CVE ID를 할당하지 않았지만, 조직은 AWS의 최신 보안 모범 사례에 맞춰 CodeBuild 배포를 검증해야 합니다.

원본 보고서: The Hacker News