GitLab 클라우드에서 1만 7천 개의 비밀 정보 노출: 개발자 보안 불감증 경고

최근 소프트웨어 개발자들이 자신들의 프로젝트를 사이버 공격 위험에 노출시키는 사례가 발견되어 경종을 울리고 있습니다. 보안 연구원 Luke Marshall은 GitLab Cloud 공개 저장소에서 무려 1만 7천 개의 비밀 정보를 발견했습니다. 이는 개발자들이 API 키, 비밀번호, 토큰 등의 민감한 정보를 부주의하게 공개된 저장소에 업로드함으로써 발생하는 문제점을 여실히 드러냅니다.

GitLab 클라우드 저장소, 보안에 취약한가?

GitLab Cloud는 개발자들이 코드 저장, 이슈 추적, CI/CD 파이프라인 실행, 소프트웨어 프로젝트 협업 등을 위해 사용하는 플랫폼입니다. Luke Marshall은 GitLab Cloud 뿐만 아니라 Bitbucket, Common Crawl 등을 스캔하여 API 키, 비밀번호, 토큰 등을 탐색했습니다. 그 결과, GitLab Cloud에서 1만 7천 개, Bitbucket에서 6,200개 이상, Common Crawl에서 12,000개의 유효한 비밀 정보를 발견했습니다.

자동화된 스캔의 위력과 위험성

Marshall은 스캔 과정을 자동화하여 단 24시간 만에 800달러 미만의 비용으로 이 결과를 얻어냈습니다. 그는 이 과정에서 약 9,000달러의 버그 바운티를 획득했다고 합니다. 자동화된 스캔은 효율적이지만, 동시에 해커들에게도 악용될 가능성이 있다는 점을 시사합니다. 발견된 비밀 정보를 악용한 해커들은 클라우드 계정 탈취, 데이터 유출, 암호화폐 채굴기 배포, 서비스 위장, 조직 인프라 침투 등 다양한 공격을 감행할 수 있습니다.

노출된 비밀 정보의 종류와 심각성

노출된 비밀 정보 대부분은 비교적 최근에 생성된 것들이었지만, 수십 년 전에 생성된 후 여전히 유효한 정보도 있었습니다. 이는 이미 악의적인 공격자들이 해당 정보를 발견하고 공격에 사용했을 가능성이 높다는 것을 의미합니다. 주로 구글 클라우드 플랫폼(GCP)과 MongoDB 키가 많았으며, 텔레그램 봇 토큰, OpenAI 키, GitLab 키 등도 발견되었습니다. 단 하나의 유출된 토큰만으로도 공격자들은 장기간 내부 시스템에 접근하여 코드를 수정하고, 리소스를 소모하며, 추가 공격을 감행할 수 있습니다.

개발자들의 보안 의식 강화 필요

많은 개발자들이 문제점을 인지하고 프로젝트를 보호했지만, 여전히 일부는 노출된 상태로 남아있습니다. 이는 개발자들이 보안에 대한 인식을 높이고, 민감한 정보를 안전하게 관리하기 위한 노력을 기울여야 함을 강조합니다. 개발 과정에서 비밀 정보 관리에 대한 교육과 가이드라인을 제공하고, 자동화된 보안 스캔 도구를 활용하여 잠재적인 위험을 사전에 감지하는 것이 중요합니다.

맺음말

GitLab 클라우드 저장소에서 발견된 수천 개의 비밀 정보 노출 사례는 개발자들의 보안 불감증이 얼마나 심각한 문제인지 보여줍니다. 개발자들은 자신의 프로젝트를 사이버 공격으로부터 보호하기 위해 보안에 대한 인식을 높이고, 안전한 개발 practices를 준수해야 합니다. 또한, 기업은 개발자들에게 보안 교육을 제공하고, 자동화된 보안 스캔 도구를 도입하여 잠재적인 위험을 사전에 감지하고 대응할 수 있도록 지원해야 합니다.