보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

전 세계 보안 팀들이 놓치고 있는 거대 취약점, 깃허브

입력 : 2018-05-02 12:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
소스코드 공유한다는 건 지적재선 공개한다는 것과 비슷한 뜻
개발자들, 깃허브 공간에서는 해이해져...회사의 깃허브 모니터링 필수


[보안뉴스 문가용 기자] 보안 팀들을 바쁘게 하는 것은 무엇인가? 멀웨어? 피싱? 디도스 공격? 데이터 분석? 첩보 수집? 그 전부다. 하나하나가 사람 진 빠지도록 바쁘게 만드는 건데, 그럼에도 빠진 게 있다. 그건 최근에 들어 부각하기 시작한 거대 취약점으로, 바로 깃허브다.

[이미지 = iclickart]


깃허브. 개발자들이라면 모두가 아는 소스코드 공유 및 관리 시스템으로, 이런 종류에서는 세계에서 가장 큰 커뮤니티다. 기업들과 개인들은 깃허브에 소스코드를 저장하고 관리한다. 소프트웨어 개발 프로젝트도 여기서 실시간으로 진행될 때가 많다. 유용한 기능들이 가득하고, 사용자를 위한 인터페이스가 매력적인 깃허브에는 현재 8천만 개가 넘는 소스코드가 저장되어 있다. 페이스북, 구글, MS 등 IT 업계에서 내로라하는 회사들도 깃허브를 즐겨 사용한다고 알려져 있다.

이런 개발 업계의 성공 스토리 주인공인 깃허브가 ‘거대한 취약점’이라고?

그렇다. 제일 먼저는 여기에 개발 프로젝트들이 저장된다는 걸 기억해야 한다. 깃허브를 사용하는 수많은 기업들 중 최소 한 곳 이상은 깃허브라는 공간에서 실제 프로젝트를 진행하곤 한다. 그러나 깃허브는 개발자들끼리 모인, 약간은 분위기가 느슨한 ‘커뮤니티’와 같은 공간이다. 회사 업무를 진지하게 실행하기에는 조금 안 어울리기도 한다. 실제로 많은 개발자들이 회사에서라면 잘 지켰을 기본적인 보안 수칙들을 깃허브에서는 잘 지키지 않는다. 소스코드 분석 툴인 포티파이(Fortify)를 돌려 취약점을 찾아내는 등의 과정을 곧잘 잊어버리는 것이 한 예다.

개발자들 스스로가 조금은 느슨한 태도로 깃허브를 만끽하고, 동료들과 교감하는 동안 해커들 역시 이 사람 많은 곳에 슬쩍 끼어든다. 그러면서 유용하거나 취약한 소스코드를 찾아 나선다. 애초에 자유롭게 열린 공간이며, 개발자들이 경계심을 낮추는 곳이니 이런 해커들의 움직임은 매우 쉬워진다. 여기에 더해 해커들이 깃허브를 좋아하는 이유가 몇 가지 있다.

1) 소스코드가 풍부하다. 말이 좋아 소스코드 공유 사이트지 사실은 지적재산이 공유된다고 표현해도 무리가 없다. 그 자체로도 해커들이 훔치기 좋아하는 아이템들인데, 다양한 소스코드를 빌려 멀웨어들을 빠르게 개발할 수도 있다. 시간이 절약되고, 공격 기획이나 사전 정찰과 같은 작업에 더 많은 자원을 투자할 수 있게 된다.

2) 또 다른 공격 표면이 된다. 소스코드를 훔치거나 가져다 쓰지 않고도, 개발 과정을 주시하면서 해당 소프트웨어 혹은 애플리케이션에 대한 특징 및 취약점을 미리 간파할 수 있다. 그리고 나중에 프로젝트가 끝나고 정식 앱이 되었을 때, 남들이 모르는 공격 루트를 확보할 수 있게 된다. 코드를 중간중간 가져다가 남몰래 여러 공격 실험을 진행할 수도 있다.

3) 로그인 크리덴셜도 많다. 실제로 자주 일어나는 일인데, 깃허브에서 개발되는 코드와 파일들 내에는 로그인 정보가 담겨 있기도 하다. 아마존의 AWS와 연계된 앱을 만들 때 개발자가 실수로 자기 계정 로그인을 코드에 그대로 넣어놓는 일이 왕왕 발생한다. 해커들도 이를 알고, 코드에 접근해 로그인 크리덴셜이 있을만한 부분을 검색한다. 또한 훔쳐낸 크리덴셜을 가지고 추가 범죄를 저지르기도 한다.

4) 인증되지 않은 접근이 가능하다. 개발자들은 많은 경우 회사 내 주요 서버나 데이터로 무제한 접근이 가능하다. 자기 개인 메일 계정을 가지고 회사에 접속하기도 하는데, 이러한 메일 주소만 해커가 획득하게 되어도, 회사 전체가 크게 취약해지는 것이나 다름없다. 심지어 개발자에게는 지나치게 많은 데이터로의 접근을 허용하는 회사가 대다수인데, 그 개발자가 깃허브를 즐겨 사용한다면 다시 생각해볼 필요가 있다.

5) 내부자 위협을 감추기에 편리하다. 깃허브가 제대로 된 모니터링을 받고 있지 않아서 생기는 문제인데, 깃허브에서는 얼마든지 개발자 혹은 악성 내부자가 활개를 칠 수 있다. 예를 들어 한 사람이 수십 개의 코드 리포지토리에 자꾸만 접속한다면, 수상하게 생각할 수 있어야 하는데, 애초에 회사가 깃허브를 모니터링하고 있지 않으니 이런 ‘명백히 수상한 행위’도 적발되지 않는다.

그렇다면 깃허브를 어떻게 모니터링 해야 할까? 다행히도 보안 팀들이 깃허브라는 방대한 사이버 공유 장소를 실질적으로 모니터링할 수 있게 해주는 방법이 몇 가지 존재한다. 그것은 다음과 같다.

1) 로그인 크리덴셜을 관리한다. 그저 사내 개발자라고 해서 모두가 깃허브에서 똑같은 활동을 하게 할 필요가 없다. 자신이 담당하지 않는 프로젝트에 대해서는 접근하지 못하도록 깃허브 계정 및 크리덴셜을 관리하는 것이 중요하다. 프로젝트가 끝나면 해당 계정 및 로그인 정보를 삭제하거나 수정한다.

2) 개발자들이 회사 업무로 사용하는 모든 깃허브 계정의 환경설정을 꼼꼼하게 확인한다. 깃허브라는 이름의 깃(Git)은 원래 리눅스 커널 개발 과정을 관리하기 위해 개발된 툴이다. 아직도 이 깃과 깃허브 모두 오픈소스 프로젝트에서는 널리 사용되고 있다. 이런 오픈소스 프로젝트에 자주 참여하는 개발자들은 깃허브의 코드 저장소 역시 오픈소스인 것처럼 다룰 때가 있다. 분명히 제한된 접근과 열람만 가능한 비밀 프로젝트도 존재하는데 말이다. 그러므로 회사 깃허브 계정과 프로젝트에 누가 접근이 가능한지 파악하고 환경설정도 두 번 세 번 점검해야 한다.

3) 공공 코드에 기밀이나 민감한 내용을 절대 섞지 않는다. 개발자들에게 신신당부를 해야 하는데, “깃허브를 사용하려면 로그인 크리덴셜을 절대로 소스코드에 넣고 잊지 말라”고 다짐해야 한다. 한 번만 할 게 아니라 여러 번 주기적으로 반복해야 한다. 그래야 겨우 기억해 내는 것이 보통이다.

4) 깃허브 내의 수상한 활동을 주의하라. 누군가 내 소스코드에 대한 체크인을 갑자기 많이 한다든가, 누군가 소스코드 중 커다란 일부를 가지고 체크아웃 했다든지 하면 의심하고 추적해야 한다. 아는 개발자가 이상한 지역에서부터 로그인을 했다든지, 로그인 시도가 지나치게 많아졌다든지 하는 이상 현상들을 면밀히 살펴야 한다.

5) 깃허브 로그를 수집한다. 깃허브를 지속적으로 모니텅해야 한다면 로그를 모으는 것이 가장 손쉬운 방법일 것이다. 이는 지금 당장 시작해야 하는 것이기도 하다. 그러므로 얼른 깃허브의 로그를 수집하라.

소스코드 혹은 소프트웨어 개발 코드는 회사가 가진 가장 중요한 자산 중 하나다. 그러니 개발자들의 활동이 왕성한 곳에 근무하는 보안 담당자들이라면, 깃허브도 커다란 취약점인 것처럼 취급하기 시작해야 한다. 이미 바쁜 스케줄 때문에 고생이 이만 저만이 아니겠지만, 깃허브 역시 그러한 바쁜 일정 가운데 반드시 있어야 할 점검 대상이다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

Joseph Park 2018.05.10 17:37

https://www.darkreading.com/application-security/its-time-to-take-github-threats-seriously/a/d-id/1331577?


  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)