포춘 500대 기업 및 수천여 조직 사이버 공격에 노출돼
[보안뉴스 이소미 기자] 클라우드 네이티브 보안 기업 아쿠아 시큐리티(Aqua Security)의 보안 리서치 팀인 아쿠아 노틸러스(Aqua Nautilus)가 △수천 개의 잘못 구성된 컨테이너 이미지 △레드햇 키(Red Hat Quay) 레지스트리 △제이프로그 아티팩토리(JFrog Artifactory) △소나타입 넥서스(Sonatype Nexus) 아티팩트 레지스트리를 통해 노출된 2억5,000만 개의 아티팩트(artifact)와 6만5,600개의 컨테이너 이미지를 발견했다고 밝혔다.
[로고=아쿠아시큐리티]
이번 연구팀의 발견 결과를 볼 때, 대부분 중요 기밀과 민감한 자체 코드 등이 상당수 포함돼 포춘 500대 기업 중 5개 기업과 그 외 수천여 기업이 위험을 안고 있었다.
레지스트리와 아티팩트 관리 시스템은 소프트웨어 공급망의 핵심 요소로, 위협 행위자의 주요 표적이 된다. 많은 기업이 의도적으로 자사의 컨테이너 및 아티팩트 레지스트리를 외부에 공개하는데, 해당 레지스트리를 통해 유출되는 민감한 정보와 기밀을 인지하거나 제어하지 못하는 경우가 발생하곤 한다.
공격자가 액세스를 확보하면 전체 소프트웨어 개발 라이프사이클(SDLC) 툴체인과 여기에 저장된 아티팩트를 악용할 가능성이 있다. 아쿠아의 연구에 따르면 이런 고도의 중요한 환경을 적절히 보호하지 못했거나 또는 민감한 정보가 오픈소스 영역으로 유출된 경우로 해당 환경이 인터넷에 노출되고 공격에 취약해져 심각하고 치명적인 공격으로 이어질 수 있다.
아사프 모락(Assaf Morag) 아쿠아 노틸러스 수석 위협연구원은 “이번 연구를 시작했을 때 우리의 목적은 레지스트리 구성 오류와 관련 기업을 찾고 숙련된 공격자가 어떻게 구성 오류가 노출된 레지스트리를 악용할지 파악하는 것”이라면서, “분석 결과가 놀랍기도 했고 크게 우려스러웠다. 우리가 발견한 리스크의 심각성을 고려해 해당 기업에 알리기로 했다”고 말했다.
주요 연구 결과로 △1400개 개별 호스트에서 기밀, 크리덴셜, 토큰 등의 민감한 키 발견 △156개 호스트에서 레디스(Redis), 몽고디비(MongoDB), PostgreSQL, 마이에스큐엘(MySQL) 같은 엔드포인트의 사적이고 민감한 주소 정보 발견 △중대 구성 오류가 있는 57개 레지스트리 중 디폴트 패스워드로 관리자 액세스 허용하는 15개 레지스트리 발견 △공격자가 기밀·키·패스워드 등을 이용해 심각한 소프트웨어 공급망 공격을 감행하거나 SDLC를 악성코드로 감염시킬 수 있는 업로드를 허용하는 2,100개 이상의 아티팩트 레지스트리 감지 △익명의 유저 액세스가 잠재적 공격자의 민감 정보 습득을 허용하는 경우 발견 △문제를 안고 있는 기업으로 전세계 다양한 대·중소기업과 2개의 대형 사이버 보안 업체도 포함됐다.
노틸러스는 많은 기업이 책임 있는 보안 공시(disclosure) 프로그램을 갖추고 있지 않다는 사실을 확인했다. 보안 공시 프로그램은 보안 연구원이 잠재적 취약점을 체계적 방식으로 보고해서 기업이 악의적 행위자에게 침해당하기 전 이슈를 신속히 해결할 수 있는 중요한 수단이다. 노틸러스에 따르면 책임 있는 공시 프로그램을 확립하고 있는 기업의 경우 구성 오류를 일주일 이내에 해결할 수 있었다. 해당 프로그램이 없는 기업의 경우, 보다 어렵고 오랜 시간과 과정을 거쳐야 했다.
케이티 노튼(Katie Norton) IDC 데브옵스 및 데브섹옵스 수석 리서치 애널리스트는 “아쿠아 노틸러스의 연구 결과는 개발자와 애플리케이션 보안팀이 소프트웨어 공급망 보안 관련 베스트 프랙티스에 대한 인식을 제고할 필요가 있음을 보여준다”며, “코드의 폭증과 오픈소스 사용이 데브옵스와 결합해 애플리케이션 개발 및 배포가 빠르게 이루어지면서 기업이 거버넌스, 보안 컨트롤, 교육 면에서 뒤처졌고 이를 바로잡아야 한다”고 지적했다.
노틸러스 연구원들은 분석 결과를 토대로 보안팀이 다음의 조처를 신속히 이행해야 한다고 강조했다. △인터넷에 노출된 레지스트리나 아티팩트 관리 시스템이 없는지의 여부 △레지스트리가 의도적으로 인터넷과 연결돼 있다면 해당 버전의 취약점 및 디폴트 패스워드 사용 여부 확인 △강력한 패스워드에 대한 검증 및 정기적인 변경 △익명의 유저에 대한 비활성화 조치 △익명의 유저에 대해 의도적으로 활성화한 경우라면 권한을 최소화하고 리포지토리 퍼블릭 아티팩트를 정기적으로 스캔해 기밀이나 민감한 정보가 포함되지 않도록 확인 △노출 가능성이 있는 기밀은 변경 조치할 것을 권고했다.
아사프 모락(Assaf Morag) 아쿠아 노틸러스 수석 위협연구원은 “우리의 연구 결과는 공격자가 기업의 SDLC를 침해하는 일이 얼마나 쉬운지, 또 단순한 구성오류를 간과했을 때 심각한 위협이 될 수 있다는 것”이라며, “앞으로 보안 팀은 책임 있는 보안 공시 프로그램을 확립하고 소프트웨어 공급망의 위협을 탐지하고 경감하는 데 더 많은 투자가 필요하다”고 강조했다.
한편, 아쿠아 노틸러스는 자세한 정보 제공을 위해 블로그를 통해 이번 연구 결과를 설명하고 구성 오류 및 잠재적 보안 위협을 방지하는 베스트 프랙티스를 열거하고 있다.
[이소미 기자(boan4@boannews.com)]
[보안뉴스 이소미 기자] 클라우드 네이티브 보안 기업 아쿠아 시큐리티(Aqua Security)의 보안 리서치 팀인 아쿠아 노틸러스(Aqua Nautilus)가 △수천 개의 잘못 구성된 컨테이너 이미지 △레드햇 키(Red Hat Quay) 레지스트리 △제이프로그 아티팩토리(JFrog Artifactory) △소나타입 넥서스(Sonatype Nexus) 아티팩트 레지스트리를 통해 노출된 2억5,000만 개의 아티팩트(artifact)와 6만5,600개의 컨테이너 이미지를 발견했다고 밝혔다.
[로고=아쿠아시큐리티]
이번 연구팀의 발견 결과를 볼 때, 대부분 중요 기밀과 민감한 자체 코드 등이 상당수 포함돼 포춘 500대 기업 중 5개 기업과 그 외 수천여 기업이 위험을 안고 있었다.
레지스트리와 아티팩트 관리 시스템은 소프트웨어 공급망의 핵심 요소로, 위협 행위자의 주요 표적이 된다. 많은 기업이 의도적으로 자사의 컨테이너 및 아티팩트 레지스트리를 외부에 공개하는데, 해당 레지스트리를 통해 유출되는 민감한 정보와 기밀을 인지하거나 제어하지 못하는 경우가 발생하곤 한다.
공격자가 액세스를 확보하면 전체 소프트웨어 개발 라이프사이클(SDLC) 툴체인과 여기에 저장된 아티팩트를 악용할 가능성이 있다. 아쿠아의 연구에 따르면 이런 고도의 중요한 환경을 적절히 보호하지 못했거나 또는 민감한 정보가 오픈소스 영역으로 유출된 경우로 해당 환경이 인터넷에 노출되고 공격에 취약해져 심각하고 치명적인 공격으로 이어질 수 있다.
아사프 모락(Assaf Morag) 아쿠아 노틸러스 수석 위협연구원은 “이번 연구를 시작했을 때 우리의 목적은 레지스트리 구성 오류와 관련 기업을 찾고 숙련된 공격자가 어떻게 구성 오류가 노출된 레지스트리를 악용할지 파악하는 것”이라면서, “분석 결과가 놀랍기도 했고 크게 우려스러웠다. 우리가 발견한 리스크의 심각성을 고려해 해당 기업에 알리기로 했다”고 말했다.
주요 연구 결과로 △1400개 개별 호스트에서 기밀, 크리덴셜, 토큰 등의 민감한 키 발견 △156개 호스트에서 레디스(Redis), 몽고디비(MongoDB), PostgreSQL, 마이에스큐엘(MySQL) 같은 엔드포인트의 사적이고 민감한 주소 정보 발견 △중대 구성 오류가 있는 57개 레지스트리 중 디폴트 패스워드로 관리자 액세스 허용하는 15개 레지스트리 발견 △공격자가 기밀·키·패스워드 등을 이용해 심각한 소프트웨어 공급망 공격을 감행하거나 SDLC를 악성코드로 감염시킬 수 있는 업로드를 허용하는 2,100개 이상의 아티팩트 레지스트리 감지 △익명의 유저 액세스가 잠재적 공격자의 민감 정보 습득을 허용하는 경우 발견 △문제를 안고 있는 기업으로 전세계 다양한 대·중소기업과 2개의 대형 사이버 보안 업체도 포함됐다.
노틸러스는 많은 기업이 책임 있는 보안 공시(disclosure) 프로그램을 갖추고 있지 않다는 사실을 확인했다. 보안 공시 프로그램은 보안 연구원이 잠재적 취약점을 체계적 방식으로 보고해서 기업이 악의적 행위자에게 침해당하기 전 이슈를 신속히 해결할 수 있는 중요한 수단이다. 노틸러스에 따르면 책임 있는 공시 프로그램을 확립하고 있는 기업의 경우 구성 오류를 일주일 이내에 해결할 수 있었다. 해당 프로그램이 없는 기업의 경우, 보다 어렵고 오랜 시간과 과정을 거쳐야 했다.
케이티 노튼(Katie Norton) IDC 데브옵스 및 데브섹옵스 수석 리서치 애널리스트는 “아쿠아 노틸러스의 연구 결과는 개발자와 애플리케이션 보안팀이 소프트웨어 공급망 보안 관련 베스트 프랙티스에 대한 인식을 제고할 필요가 있음을 보여준다”며, “코드의 폭증과 오픈소스 사용이 데브옵스와 결합해 애플리케이션 개발 및 배포가 빠르게 이루어지면서 기업이 거버넌스, 보안 컨트롤, 교육 면에서 뒤처졌고 이를 바로잡아야 한다”고 지적했다.
노틸러스 연구원들은 분석 결과를 토대로 보안팀이 다음의 조처를 신속히 이행해야 한다고 강조했다. △인터넷에 노출된 레지스트리나 아티팩트 관리 시스템이 없는지의 여부 △레지스트리가 의도적으로 인터넷과 연결돼 있다면 해당 버전의 취약점 및 디폴트 패스워드 사용 여부 확인 △강력한 패스워드에 대한 검증 및 정기적인 변경 △익명의 유저에 대한 비활성화 조치 △익명의 유저에 대해 의도적으로 활성화한 경우라면 권한을 최소화하고 리포지토리 퍼블릭 아티팩트를 정기적으로 스캔해 기밀이나 민감한 정보가 포함되지 않도록 확인 △노출 가능성이 있는 기밀은 변경 조치할 것을 권고했다.
아사프 모락(Assaf Morag) 아쿠아 노틸러스 수석 위협연구원은 “우리의 연구 결과는 공격자가 기업의 SDLC를 침해하는 일이 얼마나 쉬운지, 또 단순한 구성오류를 간과했을 때 심각한 위협이 될 수 있다는 것”이라며, “앞으로 보안 팀은 책임 있는 보안 공시 프로그램을 확립하고 소프트웨어 공급망의 위협을 탐지하고 경감하는 데 더 많은 투자가 필요하다”고 강조했다.
한편, 아쿠아 노틸러스는 자세한 정보 제공을 위해 블로그를 통해 이번 연구 결과를 설명하고 구성 오류 및 잠재적 보안 위협을 방지하는 베스트 프랙티스를 열거하고 있다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
