뉴스로 돌아가기
속보

노출된 API 키와 토큰: 클라우드 보안 침해의 숨겨진 위협

3분 읽기출처: BleepingComputer

클라우드 환경에서 노출된 비인간 식별자(API 키, 토큰 등)가 보안 침해의 주요 원인으로 부각되고 있습니다. Flare 연구를 통해 그 위험성과 대응 방안을 알아보세요.

유출된 비인간 식별자가 클라우드 보안 침해를 가속화하다

위협 노출 관리 전문 기업 Flare의 연구에 따르면, API 키, 토큰, 서비스 계정 자격 증명 등 **비인간 식별자(Non-Human Identities, NHIs)**의 유출이 클라우드 환경 침해의 주요 경로로 부상하고 있습니다. 이러한 노출된 기계 자격 증명은 공격자에게 장기적인 시스템 접근 권한을 제공하며, 종종 오랜 기간 탐지되지 않은 채 남아 있습니다.

기술적 세부 사항: 비인간 식별자가 악용되는 방식

비인간 식별자(NHIs)는 인간 사용자가 아닌 애플리케이션, 서비스, 자동화 프로세스에서 사용되는 디지털 자격 증명입니다. 일반적인 예시는 다음과 같습니다:

  • API 키 (예: AWS, Azure, Google Cloud 등 클라우드 서비스용)
  • OAuth 토큰 (위임 인증에 사용)
  • 서비스 계정 자격 증명 (자동화 워크플로우용)
  • CI/CD 파이프라인 시크릿 (예: GitHub Actions 토큰, Docker Hub 자격 증명)

Flare의 연구에 따르면, 이러한 자격 증명은 다음과 같은 경로를 통해 자주 유출됩니다:

  • 공개 코드 저장소 (예: GitHub, GitLab)
  • 잘못 구성된 클라우드 스토리지 (예: AWS S3 버킷, Azure Blob Storage)
  • 노출된 CI/CD 로그 (예: Jenkins, GitHub Actions)
  • 스크립트나 구성 파일에 하드코딩된 시크릿

일단 노출되면, 공격자는 이러한 자격 증명을 활용하여 다음과 같은 행위를 할 수 있습니다:

  • 클라우드 환경에서 횡적 이동(Lateral Movement)
  • 민감한 데이터 유출 (예: 데이터베이스, 지적 재산)
  • 멀웨어 또는 랜섬웨어 배포 (예: 침해된 CI/CD 파이프라인을 통해)
  • 백도어 생성이나 추가 자격 증명 발급을 통한 지속성 유지

위험 분석: 이 위협이 커지는 이유

클라우드 네이티브 아키텍처와 DevOps 관행의 확산으로 NHIs의 사용이 급증하고 있으며, 이는 인간 자격 증명보다 관리 감독이 덜 이루어지는 경우가 많습니다. 주요 위험 요소는 다음과 같습니다:

  1. 장기 미탐지 접근 – 인간 자격 증명과 달리 NHIs는 자주 교체되거나 취소되지 않으며, 보안 감사에서도 간과되는 경우가 많습니다.
  2. 공급망 공격 – 침해된 NHIs는 제3자 공급업체나 오픈소스 종속성을 침투하는 데 사용될 수 있습니다.
  3. 규제 및 컴플라이언스 위반 – 유출된 NHIs를 통한 무단 접근은 GDPR, HIPAA, SOC 2와 같은 규제 프레임워크를 위반할 수 있습니다.
  4. 재정적 및 평판 손실 – NHIs 관련 침해는 막대한 비용을 초래할 수 있으며, 2022년 Uber 침해 사건에서 공격자가 하드코딩된 자격 증명이 포함된 PowerShell 스크립트를 이용해 접근 권한을 획득한 사례가 대표적입니다.

보안 팀을 위한 권장 사항

노출된 NHIs와 관련된 위험을 완화하기 위해 Flare는 다음과 같은 조치를 권장합니다:

  1. 노출된 자격 증명을 지속적으로 모니터링

    • 공개 저장소, 클라우드 스토리지, CI/CD 로그를 스캔하여 유출된 시크릿을 탐지하는 자동화 도구를 배포합니다.
    • GitHub Secret Scanning, AWS Secrets Manager 또는 Flare, GitGuardian과 같은 타사 솔루션을 활용합니다.

  2. NHIs에 최소 권한 부여 원칙 적용

    • API 키와 서비스 계정에 필요한 최소한의 권한만 부여합니다.
    • Just-In-Time(JIT) 접근을 통해 임시 권한 상승을 구현합니다.

  3. 침해된 자격 증명 교체 및 취소

    • HashiCorp Vault 또는 AWS Secrets Manager를 사용하여 자격 증명 교체를 자동화합니다.
    • 탐지 즉시 노출된 자격 증명을 취소하고 교체합니다.

  4. 시크릿 관리 모범 사례 구현

    • 소스 코드나 구성 파일에 시크릿을 하드코딩하지 않습니다.
    • 환경 변수 또는 보안 시크릿 관리자를 사용하여 저장합니다.
    • NHIs에 접근하는 인간 계정에 **다중 인증(MFA)**을 적용합니다.

  5. 개발자 및 DevOps 팀 교육

    • 보안 코딩 관행과 NHIs 유출 위험에 대한 교육을 실시합니다.
    • CI/CD 파이프라인 및 클라우드 구성에 대한 정기적인 보안 감사를 수행합니다.

결론

클라우드 도입이 가속화됨에 따라 유출된 비인간 식별자로 인한 위협은 계속 증가할 것입니다. 보안 팀은 NHIs의 탐지, 모니터링, 안전한 관리를 우선시하여 공격자의 침투 경로가 되지 않도록 해야 합니다. 자동화된 스캔, 최소 권한 부여, 시크릿 관리와 같은 사전 조치는 노출 위험을 줄이고 침해를 완화하는 데 필수적입니다.

공유

TwitterLinkedIn