클라우드 보안 전문 기업 위즈, 글로벌 AI 기업들의 깃허브 저장소 분석 결과

[보안뉴스 김형근 기자] 클라우드 보안 전문 기업 위즈가 세계적인 AI 기업들의 깃허브 저장소를 분석한 결과, 대다수 기업이 민감한 기밀 정보를 유출한 것으로 나타났다.

위즈는 이러한 현상을 ‘기밀 확산’(Secrets Sprawl)이라고 명명했다. 이 용어는 단순히 정보 유출이 늘어난다는 의미를 넘어 기밀 정보가 통제할 수 없을 정도로 여러 장소에 넓게 퍼져 나가는 현상을 강조하는 말이다.

위즈는 분석에서 기존 스캐너가 놓치기 쉬운 전체 커밋 기록, 포크(fork)된 저장소, 삭제된 포크 등 깊은 영역까지 정밀하게 스캔하는 새로운 접근 방식을 사용했다.


[자료:위즈]

기업 총 가치 4000억달러 기업들의 충격적인 보안 실태
위즈는 포브스 AI 50 목록에 있는 AI 기업들을 집중 분석했다. 그 결과, 깃허브 활동 흔적이 있는 기업 중 65%가 검증된 기밀을 유출한 것으로 확인됐다.

유출된 기밀을 보유한 이 기업들의 총 가치는 4000억달러를 넘어선다고 위즈는 밝혔다. 유출된 정보 유형은 API 키, 토큰, 인증 정보 등이었으며, 여기에는 구글 API, 허깅 페이스 등 주요 AI 및 개발 서비스와 관련된 자격 증명이 포함됐다.

기업들의 더딘 대응으로 문제 해결 실패
위즈는 영향을 받은 AI 기업들에게 유출 사실을 통보했지만, 절반 가까운 기업으로부터 응답을 받지 못했거나 문제 해결에 실패했다고 밝혔다. 공식적인 정보 공개 채널이 없는 기업도 많았다.

위즈는 일레븐랩스, 랭체인 같은 일부 기업의 신속한 대응을 칭찬하는 한편, 공개 저장소가 없음에도 기밀을 유출하거나(내부 조직원의 공개 저장소 통해), 수많은 저장소를 보유하고도 기밀이 전혀 노출되지 않은 모범 사례도 소개하면서 효과적인 기밀 관리의 중요성을 강조했다.

위즈는 모든 조직에 공개 VCS(버전 관리 시스템) 기밀 스캐닝 의무화 및 신고 채널 구축을 권고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>