전 세계 보안 팀들이 놓치고 있는 거대 취약점, 깃허브

2018-05-02 12:22
  • 카카오톡
  • 네이버 블로그
  • url
소스코드 공유한다는 건 지적재선 공개한다는 것과 비슷한 뜻
개발자들, 깃허브 공간에서는 해이해져...회사의 깃허브 모니터링 필수


[보안뉴스 문가용 기자] 보안 팀들을 바쁘게 하는 것은 무엇인가? 멀웨어? 피싱? 디도스 공격? 데이터 분석? 첩보 수집? 그 전부다. 하나하나가 사람 진 빠지도록 바쁘게 만드는 건데, 그럼에도 빠진 게 있다. 그건 최근에 들어 부각하기 시작한 거대 취약점으로, 바로 깃허브다.


[이미지 = iclickart]

깃허브. 개발자들이라면 모두가 아는 소스코드 공유 및 관리 시스템으로, 이런 종류에서는 세계에서 가장 큰 커뮤니티다. 기업들과 개인들은 깃허브에 소스코드를 저장하고 관리한다. 소프트웨어 개발 프로젝트도 여기서 실시간으로 진행될 때가 많다. 유용한 기능들이 가득하고, 사용자를 위한 인터페이스가 매력적인 깃허브에는 현재 8천만 개가 넘는 소스코드가 저장되어 있다. 페이스북, 구글, MS 등 IT 업계에서 내로라하는 회사들도 깃허브를 즐겨 사용한다고 알려져 있다.

이런 개발 업계의 성공 스토리 주인공인 깃허브가 ‘거대한 취약점’이라고?

그렇다. 제일 먼저는 여기에 개발 프로젝트들이 저장된다는 걸 기억해야 한다. 깃허브를 사용하는 수많은 기업들 중 최소 한 곳 이상은 깃허브라는 공간에서 실제 프로젝트를 진행하곤 한다. 그러나 깃허브는 개발자들끼리 모인, 약간은 분위기가 느슨한 ‘커뮤니티’와 같은 공간이다. 회사 업무를 진지하게 실행하기에는 조금 안 어울리기도 한다. 실제로 많은 개발자들이 회사에서라면 잘 지켰을 기본적인 보안 수칙들을 깃허브에서는 잘 지키지 않는다. 소스코드 분석 툴인 포티파이(Fortify)를 돌려 취약점을 찾아내는 등의 과정을 곧잘 잊어버리는 것이 한 예다.

개발자들 스스로가 조금은 느슨한 태도로 깃허브를 만끽하고, 동료들과 교감하는 동안 해커들 역시 이 사람 많은 곳에 슬쩍 끼어든다. 그러면서 유용하거나 취약한 소스코드를 찾아 나선다. 애초에 자유롭게 열린 공간이며, 개발자들이 경계심을 낮추는 곳이니 이런 해커들의 움직임은 매우 쉬워진다. 여기에 더해 해커들이 깃허브를 좋아하는 이유가 몇 가지 있다.

1) 소스코드가 풍부하다. 말이 좋아 소스코드 공유 사이트지 사실은 지적재산이 공유된다고 표현해도 무리가 없다. 그 자체로도 해커들이 훔치기 좋아하는 아이템들인데, 다양한 소스코드를 빌려 멀웨어들을 빠르게 개발할 수도 있다. 시간이 절약되고, 공격 기획이나 사전 정찰과 같은 작업에 더 많은 자원을 투자할 수 있게 된다.

2) 또 다른 공격 표면이 된다. 소스코드를 훔치거나 가져다 쓰지 않고도, 개발 과정을 주시하면서 해당 소프트웨어 혹은 애플리케이션에 대한 특징 및 취약점을 미리 간파할 수 있다. 그리고 나중에 프로젝트가 끝나고 정식 앱이 되었을 때, 남들이 모르는 공격 루트를 확보할 수 있게 된다. 코드를 중간중간 가져다가 남몰래 여러 공격 실험을 진행할 수도 있다.

3) 로그인 크리덴셜도 많다. 실제로 자주 일어나는 일인데, 깃허브에서 개발되는 코드와 파일들 내에는 로그인 정보가 담겨 있기도 하다. 아마존의 AWS와 연계된 앱을 만들 때 개발자가 실수로 자기 계정 로그인을 코드에 그대로 넣어놓는 일이 왕왕 발생한다. 해커들도 이를 알고, 코드에 접근해 로그인 크리덴셜이 있을만한 부분을 검색한다. 또한 훔쳐낸 크리덴셜을 가지고 추가 범죄를 저지르기도 한다.

4) 인증되지 않은 접근이 가능하다. 개발자들은 많은 경우 회사 내 주요 서버나 데이터로 무제한 접근이 가능하다. 자기 개인 메일 계정을 가지고 회사에 접속하기도 하는데, 이러한 메일 주소만 해커가 획득하게 되어도, 회사 전체가 크게 취약해지는 것이나 다름없다. 심지어 개발자에게는 지나치게 많은 데이터로의 접근을 허용하는 회사가 대다수인데, 그 개발자가 깃허브를 즐겨 사용한다면 다시 생각해볼 필요가 있다.

5) 내부자 위협을 감추기에 편리하다. 깃허브가 제대로 된 모니터링을 받고 있지 않아서 생기는 문제인데, 깃허브에서는 얼마든지 개발자 혹은 악성 내부자가 활개를 칠 수 있다. 예를 들어 한 사람이 수십 개의 코드 리포지토리에 자꾸만 접속한다면, 수상하게 생각할 수 있어야 하는데, 애초에 회사가 깃허브를 모니터링하고 있지 않으니 이런 ‘명백히 수상한 행위’도 적발되지 않는다.

그렇다면 깃허브를 어떻게 모니터링 해야 할까? 다행히도 보안 팀들이 깃허브라는 방대한 사이버 공유 장소를 실질적으로 모니터링할 수 있게 해주는 방법이 몇 가지 존재한다. 그것은 다음과 같다.

1) 로그인 크리덴셜을 관리한다. 그저 사내 개발자라고 해서 모두가 깃허브에서 똑같은 활동을 하게 할 필요가 없다. 자신이 담당하지 않는 프로젝트에 대해서는 접근하지 못하도록 깃허브 계정 및 크리덴셜을 관리하는 것이 중요하다. 프로젝트가 끝나면 해당 계정 및 로그인 정보를 삭제하거나 수정한다.

2) 개발자들이 회사 업무로 사용하는 모든 깃허브 계정의 환경설정을 꼼꼼하게 확인한다. 깃허브라는 이름의 깃(Git)은 원래 리눅스 커널 개발 과정을 관리하기 위해 개발된 툴이다. 아직도 이 깃과 깃허브 모두 오픈소스 프로젝트에서는 널리 사용되고 있다. 이런 오픈소스 프로젝트에 자주 참여하는 개발자들은 깃허브의 코드 저장소 역시 오픈소스인 것처럼 다룰 때가 있다. 분명히 제한된 접근과 열람만 가능한 비밀 프로젝트도 존재하는데 말이다. 그러므로 회사 깃허브 계정과 프로젝트에 누가 접근이 가능한지 파악하고 환경설정도 두 번 세 번 점검해야 한다.

3) 공공 코드에 기밀이나 민감한 내용을 절대 섞지 않는다. 개발자들에게 신신당부를 해야 하는데, “깃허브를 사용하려면 로그인 크리덴셜을 절대로 소스코드에 넣고 잊지 말라”고 다짐해야 한다. 한 번만 할 게 아니라 여러 번 주기적으로 반복해야 한다. 그래야 겨우 기억해 내는 것이 보통이다.

4) 깃허브 내의 수상한 활동을 주의하라. 누군가 내 소스코드에 대한 체크인을 갑자기 많이 한다든가, 누군가 소스코드 중 커다란 일부를 가지고 체크아웃 했다든지 하면 의심하고 추적해야 한다. 아는 개발자가 이상한 지역에서부터 로그인을 했다든지, 로그인 시도가 지나치게 많아졌다든지 하는 이상 현상들을 면밀히 살펴야 한다.

5) 깃허브 로그를 수집한다. 깃허브를 지속적으로 모니텅해야 한다면 로그를 모으는 것이 가장 손쉬운 방법일 것이다. 이는 지금 당장 시작해야 하는 것이기도 하다. 그러므로 얼른 깃허브의 로그를 수집하라.

소스코드 혹은 소프트웨어 개발 코드는 회사가 가진 가장 중요한 자산 중 하나다. 그러니 개발자들의 활동이 왕성한 곳에 근무하는 보안 담당자들이라면, 깃허브도 커다란 취약점인 것처럼 취급하기 시작해야 한다. 이미 바쁜 스케줄 때문에 고생이 이만 저만이 아니겠지만, 깃허브 역시 그러한 바쁜 일정 가운데 반드시 있어야 할 점검 대상이다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


Joseph Park 2018.05.10 17:37

https://www.darkreading.com/application-security/its-time-to-take-github-threats-seriously/a/d-id/1331577?


과월호 eBook List 정기구독 신청하기

    • 지인테크

    • 인콘

    • 엔텍디바이스코리아

    • 지오멕스소프트

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 비전정보통신

    • 트루엔

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 효성인포메이션시스템

    • 투윈스컴

    • 경인씨엔에스

    • (주)우경정보기술

    • 성현시스템

    • 디비시스

    • 다후아테크놀로지코리아

    • 유니뷰

    • 이오씨

    • 한국씨텍

    • 세연테크

    • 위트콘

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 유에치디프로

    • 포엠아이텍

    • 넥스트림

    • 트렐릭스

    • 엔피코어

    • 투씨에스지

    • 블루문소프트

    • 엑소스피어랩스

    • 시엔스

    • 워터월시스템즈

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 사라다

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 앤디코

    • 유투에스알

    • 태정이엔지

    • 네티마시스템

    • 에이치지에스코리아

    • 에이앤티코리아

    • 미래시그널

    • 엘림광통신

    • 모스타

    • 주식회사 알씨

    • 에스에스티랩

    • 에이앤티글로벌

    • 지와이네트웍스

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 티에스아이솔루션

    • 두레옵트로닉스

    • 엔에스티정보통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 엔시드

    • 동양유니텍

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기