개발자들은 IT 지식과 기술력이라는 면에 있어서는 최고 수준에 도달한 부류들이다. 그런데 그 어마어마한 전문성이 발목을 잡는 것일까. 오히려 IT 보안이라는 면에 있어서는 아직도 고쳐야 할 점이 많이 보이고 있다.
[보안뉴스 문가용 기자] 개발자들의 협업 도구들이 오히려 개발자를 위협하는 도구로 활용되고 있다. 도커(Docker), 큐버네티스(Kubernetes), 슬랙(Slack)에서 이런 현상들이 특히 자주 발견되기 시작했다. 일반 사이버 범죄 단체나 국가 지원을 받는 전문 해킹 부대나, 피해자들이 사용하게 될 수밖에 없는 소프트웨어라는 것을 노리는 것을 선호하고 있기 때문이다.
[이미지 = utoimage]
예를 들어 지난 9월 18일 한 해커는 슬랙의 크리덴셜을 훔친 것을 시작으로 록스타게임즈(Rockstar Games)에서 유명 게임 GTA의 후속작 개발 자료들을 훔쳐내 공개했었다. 1주일 후에는 보안 업체 트렌드 마이크로(Trend Micro)가 설정이 잘못된 도커 컨테이너를 침해하려는 해커들의 체계적인 활동을 찾아내 경고하기도 했었다.
“굳이 소프트웨어 취약점을 연구하지 않아도 됩니다. 누구나 설정 실수를 한 번쯤 하고 누구나 크리덴셜을 실수로 흘릴 수 있다는 사실만 노려도 해킹 공격을 성공시킬 수 있다는 걸 공격자들은 너무나 잘 알고 있거든요.” 프로그래밍 플랫폼 깃랩(GitLab)의 수석 보안 엔지니어 마크 러브레스(Mark Loveless)의 설명이다.
“요즘 해커들이 가장 좋아하는 표적을 꼽으라고 한다면 첫 손에 개발자라고 답을 해도 됩니다. 그런데 개발자들은 스스로가 표적이 되고 있다는 걸 잘 받아들이지 않습니다. 개발을 끝낸 완성품만이 해커들에게 가치가 있을 거라고 생각하기 때문입니다. 자신이 공격을 받는다는 걸 잘 인지하지 못하니 보안 수칙이 생각도 나지 않죠. 개발을 다 끝내고, 나중에 보안을 덧입히는 방식에 아직도 젖어 있다는 뜻입니다.”
아직 보안의 현 상황에 대해 미처 다 인지 못한 상태에서 개발 전문가들은 부지런히 개발을 원활하게 하기 위한 파이프라인을 구축하고 있다. 슬랙, 팀즈, 줌을 필두로 각종 협업 플랫폼들의 활용도도 점점 높아지는 중이다. 컨테이너 기술도 빈도 높게 사용되고 있어 도커와 큐버네티스도 이제 개발 프로세스에서 빠질 수 없는 요소들로 자리를 잡아가는 중이다.
메신저 플랫폼인 엘러먼트(Element)의 CEO 매튜 호지슨(Matthew Hodgson)은 “개발을 편리하게 해 주는 도구들은 공격자들마저 편하게 해 준다”며 “플랫폼 자체의 보안 기능에 비해 개발자들이 수행할 수 있는 주요 개발 기능이 너무나 많이 제공되어 있다”고 말한다. “공격자 입장에서는 비교적 쉽게 뚫고 들어갔더니 할 수 있는 일이 무궁무진 한 겁니다. 슬랙의 경우 종단간 암호화 기능도 구축되지 않고 있습니다. 한 번 침투하면 공격자는 회사 전체의 지식 체계까지 열람할 수 있습니다.”
설정 오류만이 문제가 아니다
개발자를 노리는 사이버 공격자들의 방법은 여러 가지다. 설정 오류나 보안 해이는 여러 가지 중 대표적인 몇 가지일 뿐이다. 예를 들어 한 공격 단체는 한 암시장에서 슬랙 로그인 크리덴셜을 구매했고, 이를 통해 EA라는 거대 게임사를 침해했다. 당시 공격자들은 중요 게임의 소스코드 800GB를 탈취했다. 도커 이미지들의 경우 절반 이상에서 초고위험도 취약점들이 하나 이상 포함되어 있다는 조사 결과가 2020년에 나오기도 했었다.
피싱과 소셜엔지니어링 공격으로 개발자들을 속이는 사례도 빈번하다. 지난 주만 하더라도 서클CI(CircleCI)와 깃허브(GitHub)라는 개발 플랫폼을 이용하는 개발자들이 피싱 공격의 표적이 되기도 했었다. 지난 주 록스타게임즈의 해킹 사고 역시 취약점 익스플로잇이 아니라 소셜엔지니어링 공격으로 인해 발생한 일로 여겨지고 있다.
슬랙의 대변인은 “사용자들이 슬랙이라는 플랫폼 내에서 상호 협조하고 각종 필요한 작업을 진행함에 있어서 최고 수준의 아이덴티티 및 장비 보호 매커니즘은 물론 데이터 보호 및 정보 거버넌스가 발동되도록 하고 있다”고 설명한다. “하지만 소셜 엔지니어링 공격 전략이 갈수록 교묘해지고 있는 상황입니다. 저희 슬랙은 모든 고객들이 소셜 엔지니어링에 대한 강력한 방어 대책을 수립하기를 권고하고 있습니다. 기술적인 면이 아니라 인지 제고 훈련도 포함한 대책이 필요합니다.”
보안 강화가 늦어봐야 나중에 할 일만 많아진다
정보 보안을 일상적인 업무 프로세스에 녹여내는 것을 개발자들은 의외로 힘들어 하는 편이다. 그래서 아직도 많은 개발자들이 비밀번호, API 키 등과 같은 비밀 정보들을 개발 중인 코드에 넣어서 그대로 리포지터리에 올린다. 그렇기 때문에 지금 개발자들이 보안에 대해 학습할 때는 기초적인 것들에서부터 시작해야 한다. “이러한 사소한 실수와 해이 때문에 결국 개발 플랫폼에서도 사고들이 나는 것입니다.” 러브레스의 설명이다.
“제로트러스트라는 개념이 코딩을 할 때에도 당연하게 적용되어야 합니다. 아무 코드나 믿어서는 안 된다는 게 머릿속에 박혀 있어야 한다는 것이죠. 내가 짠 코드라도 말입니다. 모든 것을 확인해 보고서 믿는다는 건 기술이나 정책과 같은 장치가 아니라 개발 행위의 일부로서 형성되어야 지켜질 수 있습니다. 약간의 의심을 늘 유지하는 것, 그러한 습관이 안전한 개발의 첫 단계입니다.”
또한 개발자의 다수가 아직도 다중인증과 같은 기본적인 보안 장치들을 활용하지 않는다는 것도 지적되고 있다. “하지만 이 부분에 있어서는 문화가 가시적으로 변하는 중입니다. 여러 오픈소스 소프트웨어 패키지 생태계들에서 일정 규모 이상의 프로젝트에서는 다중인증을 필수로 구축하라고 요구하고 있기 때문입니다. 수년 안에 다중인증이 모든 사람의 기본이 될 수 있을 거라고 봅니다.”
3줄 요약
1. 최근 부쩍 늘어난 개발자 표적 공격.
2. 그럼에도 개발자들은 자신들이 표적이 되고 있다는 것을 잘 모르는 듯.
3. 개발자 표적 공격이 노골적으로 나타나는 곳은 각종 개발 플랫폼.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 개발자들의 협업 도구들이 오히려 개발자를 위협하는 도구로 활용되고 있다. 도커(Docker), 큐버네티스(Kubernetes), 슬랙(Slack)에서 이런 현상들이 특히 자주 발견되기 시작했다. 일반 사이버 범죄 단체나 국가 지원을 받는 전문 해킹 부대나, 피해자들이 사용하게 될 수밖에 없는 소프트웨어라는 것을 노리는 것을 선호하고 있기 때문이다.
[이미지 = utoimage]
예를 들어 지난 9월 18일 한 해커는 슬랙의 크리덴셜을 훔친 것을 시작으로 록스타게임즈(Rockstar Games)에서 유명 게임 GTA의 후속작 개발 자료들을 훔쳐내 공개했었다. 1주일 후에는 보안 업체 트렌드 마이크로(Trend Micro)가 설정이 잘못된 도커 컨테이너를 침해하려는 해커들의 체계적인 활동을 찾아내 경고하기도 했었다.
“굳이 소프트웨어 취약점을 연구하지 않아도 됩니다. 누구나 설정 실수를 한 번쯤 하고 누구나 크리덴셜을 실수로 흘릴 수 있다는 사실만 노려도 해킹 공격을 성공시킬 수 있다는 걸 공격자들은 너무나 잘 알고 있거든요.” 프로그래밍 플랫폼 깃랩(GitLab)의 수석 보안 엔지니어 마크 러브레스(Mark Loveless)의 설명이다.
“요즘 해커들이 가장 좋아하는 표적을 꼽으라고 한다면 첫 손에 개발자라고 답을 해도 됩니다. 그런데 개발자들은 스스로가 표적이 되고 있다는 걸 잘 받아들이지 않습니다. 개발을 끝낸 완성품만이 해커들에게 가치가 있을 거라고 생각하기 때문입니다. 자신이 공격을 받는다는 걸 잘 인지하지 못하니 보안 수칙이 생각도 나지 않죠. 개발을 다 끝내고, 나중에 보안을 덧입히는 방식에 아직도 젖어 있다는 뜻입니다.”
아직 보안의 현 상황에 대해 미처 다 인지 못한 상태에서 개발 전문가들은 부지런히 개발을 원활하게 하기 위한 파이프라인을 구축하고 있다. 슬랙, 팀즈, 줌을 필두로 각종 협업 플랫폼들의 활용도도 점점 높아지는 중이다. 컨테이너 기술도 빈도 높게 사용되고 있어 도커와 큐버네티스도 이제 개발 프로세스에서 빠질 수 없는 요소들로 자리를 잡아가는 중이다.
메신저 플랫폼인 엘러먼트(Element)의 CEO 매튜 호지슨(Matthew Hodgson)은 “개발을 편리하게 해 주는 도구들은 공격자들마저 편하게 해 준다”며 “플랫폼 자체의 보안 기능에 비해 개발자들이 수행할 수 있는 주요 개발 기능이 너무나 많이 제공되어 있다”고 말한다. “공격자 입장에서는 비교적 쉽게 뚫고 들어갔더니 할 수 있는 일이 무궁무진 한 겁니다. 슬랙의 경우 종단간 암호화 기능도 구축되지 않고 있습니다. 한 번 침투하면 공격자는 회사 전체의 지식 체계까지 열람할 수 있습니다.”
설정 오류만이 문제가 아니다
개발자를 노리는 사이버 공격자들의 방법은 여러 가지다. 설정 오류나 보안 해이는 여러 가지 중 대표적인 몇 가지일 뿐이다. 예를 들어 한 공격 단체는 한 암시장에서 슬랙 로그인 크리덴셜을 구매했고, 이를 통해 EA라는 거대 게임사를 침해했다. 당시 공격자들은 중요 게임의 소스코드 800GB를 탈취했다. 도커 이미지들의 경우 절반 이상에서 초고위험도 취약점들이 하나 이상 포함되어 있다는 조사 결과가 2020년에 나오기도 했었다.
피싱과 소셜엔지니어링 공격으로 개발자들을 속이는 사례도 빈번하다. 지난 주만 하더라도 서클CI(CircleCI)와 깃허브(GitHub)라는 개발 플랫폼을 이용하는 개발자들이 피싱 공격의 표적이 되기도 했었다. 지난 주 록스타게임즈의 해킹 사고 역시 취약점 익스플로잇이 아니라 소셜엔지니어링 공격으로 인해 발생한 일로 여겨지고 있다.
슬랙의 대변인은 “사용자들이 슬랙이라는 플랫폼 내에서 상호 협조하고 각종 필요한 작업을 진행함에 있어서 최고 수준의 아이덴티티 및 장비 보호 매커니즘은 물론 데이터 보호 및 정보 거버넌스가 발동되도록 하고 있다”고 설명한다. “하지만 소셜 엔지니어링 공격 전략이 갈수록 교묘해지고 있는 상황입니다. 저희 슬랙은 모든 고객들이 소셜 엔지니어링에 대한 강력한 방어 대책을 수립하기를 권고하고 있습니다. 기술적인 면이 아니라 인지 제고 훈련도 포함한 대책이 필요합니다.”
보안 강화가 늦어봐야 나중에 할 일만 많아진다
정보 보안을 일상적인 업무 프로세스에 녹여내는 것을 개발자들은 의외로 힘들어 하는 편이다. 그래서 아직도 많은 개발자들이 비밀번호, API 키 등과 같은 비밀 정보들을 개발 중인 코드에 넣어서 그대로 리포지터리에 올린다. 그렇기 때문에 지금 개발자들이 보안에 대해 학습할 때는 기초적인 것들에서부터 시작해야 한다. “이러한 사소한 실수와 해이 때문에 결국 개발 플랫폼에서도 사고들이 나는 것입니다.” 러브레스의 설명이다.
“제로트러스트라는 개념이 코딩을 할 때에도 당연하게 적용되어야 합니다. 아무 코드나 믿어서는 안 된다는 게 머릿속에 박혀 있어야 한다는 것이죠. 내가 짠 코드라도 말입니다. 모든 것을 확인해 보고서 믿는다는 건 기술이나 정책과 같은 장치가 아니라 개발 행위의 일부로서 형성되어야 지켜질 수 있습니다. 약간의 의심을 늘 유지하는 것, 그러한 습관이 안전한 개발의 첫 단계입니다.”
또한 개발자의 다수가 아직도 다중인증과 같은 기본적인 보안 장치들을 활용하지 않는다는 것도 지적되고 있다. “하지만 이 부분에 있어서는 문화가 가시적으로 변하는 중입니다. 여러 오픈소스 소프트웨어 패키지 생태계들에서 일정 규모 이상의 프로젝트에서는 다중인증을 필수로 구축하라고 요구하고 있기 때문입니다. 수년 안에 다중인증이 모든 사람의 기본이 될 수 있을 거라고 봅니다.”
3줄 요약
1. 최근 부쩍 늘어난 개발자 표적 공격.
2. 그럼에도 개발자들은 자신들이 표적이 되고 있다는 것을 잘 모르는 듯.
3. 개발자 표적 공격이 노골적으로 나타나는 곳은 각종 개발 플랫폼.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
