내부 시스템 비밀번호·아티팩토리 자격증명까지 평문 상태로 노출
CISA, 저장소 차단 후에도 핵심 인증키 48시간 유효 상태 유지
[보안뉴스 김형근 기자] 미국의 사이버 안보를 총괄하는 CISA와 협력하는 외부 용역 업체 나이트윙(Nightwing) 소속 관리자가 민감한 정부 클라우드 자격증명을 공용 깃허브 저장소에 노출하는 초유의 보안 사고를 낸 것으로 확인됐다.
[출처: gettyimagesbank]
시크릿 탐지 전문 보안 기업 깃가디언(GitGuardian)의 기욤 발라동(Guillaume Valadon) 연구원이 최초 식별한 이 공용 저장소의 이름은 ‘Private-CISA’로 알려졌으며, 지난해 11월부터 올해 5월 중순까지 전 세계 누구나 접근할 수 있는 상태로 방치돼 있었다.
해당 저장소 내부에는 미 정부의 민감한 기밀 업무를 처리하도록 특수 설계된 아마존웹서비스(AWS)의 ‘AWS GovCloud’ 환경 최고 관리자 자격증명 3개 분량이 그대로 포함돼 있었다.
또한 ‘AWS-Workspace-Firefox-Passwords.csv’라는 이름의 파일 안에는 데브섹옵스(DevSecOps) 환경을 포함한 CISA 내부 시스템 수십 개에 로그인할 수 있는 사용자 이름과 비밀번호가 평문(Plaintext) 상태로 노출돼 있었다.
이번 자격증명 유출 조사 및 분석에 직접 참여한 보안 컨설팅 기업 세랄리스(Seralys)의 창립자 필리프 카투레글리(Philippe Caturegli)는 발견 당시 일부 AWS 인증서가 여전히 유효한 권한을 유지하며 시스템 전반에 대한 높은 수준의 접근 권한을 허용하고 있었음을 확인했다고 지적했다.
특히 이번 유출 데이터에는 소프트웨어 구성 요소를 중앙에서 관리·배포하는 CISA 내부 아티팩토리(Artifactory) 자격증명까지 포함돼 있어 공격자가 악성 백도어 코드를 심어 정상 업데이트 형태로 유포할 수 있는 치명적인 위험이 있었다.
조사 결과 문제의 관리자는 보안 수칙을 위반했으며, 깃허브가 자체적으로 제공하는 ‘비밀번호 및 암호화 키 외부 노출 자동 차단 기능’을 고의로 비활성화한 뒤 파일들을 무단 업로드한 것으로 나타났다.
파일 업로드 기록 패턴으로 미뤄볼 때 해당 직원은 안전한 개발 프로젝트 목적이 아니라 직장 노트북과 재택근무용 개인 컴퓨터 간 단순 파일 동기화 및 백업 용도로 이 공용 저장소를 사적으로 활용한 것으로 분석됐다.
유출 사실을 통보받은 CISA 측은 약 26시간 만에 해당 저장소를 비공개 처리했다. 그러나 유출된 핵심 AWS 자격증명 키는 이후에도 약 48시간 동안 유효한 상태를 유지해 대응 과정의 허점을 드러냈다.
현재 CISA는 자체 조사를 진행 중이며 실제 악용 정황은 아직 확인되지 않았다고 밝혔다. 다만 전문가들은 예산 감축과 조직 개편 압박 등이 관리자의 인적 오류를 유발했을 가능성을 경고하고 있다.
[김형근 기자(editor@boannews.com)]
CISA, 저장소 차단 후에도 핵심 인증키 48시간 유효 상태 유지
[보안뉴스 김형근 기자] 미국의 사이버 안보를 총괄하는 CISA와 협력하는 외부 용역 업체 나이트윙(Nightwing) 소속 관리자가 민감한 정부 클라우드 자격증명을 공용 깃허브 저장소에 노출하는 초유의 보안 사고를 낸 것으로 확인됐다.
[출처: gettyimagesbank]
시크릿 탐지 전문 보안 기업 깃가디언(GitGuardian)의 기욤 발라동(Guillaume Valadon) 연구원이 최초 식별한 이 공용 저장소의 이름은 ‘Private-CISA’로 알려졌으며, 지난해 11월부터 올해 5월 중순까지 전 세계 누구나 접근할 수 있는 상태로 방치돼 있었다.
해당 저장소 내부에는 미 정부의 민감한 기밀 업무를 처리하도록 특수 설계된 아마존웹서비스(AWS)의 ‘AWS GovCloud’ 환경 최고 관리자 자격증명 3개 분량이 그대로 포함돼 있었다.
또한 ‘AWS-Workspace-Firefox-Passwords.csv’라는 이름의 파일 안에는 데브섹옵스(DevSecOps) 환경을 포함한 CISA 내부 시스템 수십 개에 로그인할 수 있는 사용자 이름과 비밀번호가 평문(Plaintext) 상태로 노출돼 있었다.
이번 자격증명 유출 조사 및 분석에 직접 참여한 보안 컨설팅 기업 세랄리스(Seralys)의 창립자 필리프 카투레글리(Philippe Caturegli)는 발견 당시 일부 AWS 인증서가 여전히 유효한 권한을 유지하며 시스템 전반에 대한 높은 수준의 접근 권한을 허용하고 있었음을 확인했다고 지적했다.
특히 이번 유출 데이터에는 소프트웨어 구성 요소를 중앙에서 관리·배포하는 CISA 내부 아티팩토리(Artifactory) 자격증명까지 포함돼 있어 공격자가 악성 백도어 코드를 심어 정상 업데이트 형태로 유포할 수 있는 치명적인 위험이 있었다.
조사 결과 문제의 관리자는 보안 수칙을 위반했으며, 깃허브가 자체적으로 제공하는 ‘비밀번호 및 암호화 키 외부 노출 자동 차단 기능’을 고의로 비활성화한 뒤 파일들을 무단 업로드한 것으로 나타났다.
파일 업로드 기록 패턴으로 미뤄볼 때 해당 직원은 안전한 개발 프로젝트 목적이 아니라 직장 노트북과 재택근무용 개인 컴퓨터 간 단순 파일 동기화 및 백업 용도로 이 공용 저장소를 사적으로 활용한 것으로 분석됐다.
유출 사실을 통보받은 CISA 측은 약 26시간 만에 해당 저장소를 비공개 처리했다. 그러나 유출된 핵심 AWS 자격증명 키는 이후에도 약 48시간 동안 유효한 상태를 유지해 대응 과정의 허점을 드러냈다.
현재 CISA는 자체 조사를 진행 중이며 실제 악용 정황은 아직 확인되지 않았다고 밝혔다. 다만 전문가들은 예산 감축과 조직 개편 압박 등이 관리자의 인적 오류를 유발했을 가능성을 경고하고 있다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
