Home > 전체기사

코드 점검 서비스 회사 코드코브, 수개월 동안 침해 사실 몰랐다

  |  입력 : 2021-04-19 15:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
또 다른 공급망 공격이 발견됐다. 공격자들이 코드 점검 서비스인 코드코브를 침해해 고객사의 코드들에 접근한 것이다. 이런 활동이 시작된 건 최소 1월부터라고 하는데, 코드코브는 4월 1일까지 전혀 몰랐다고 한다. 공급망 공격이 대유행의 조짐을 보이고 있다.

[보안뉴스 문가용 기자] 미국의 사법 당국이 코드코브(Codecov)라는 기업에서 발생한 정보 침해 사고에 대한 수사에 나섰다. 코드코브는 개발자들이 코드베이스 커버리지를 계산하고 점검하게 해 주는 도구를 만들어 판매하는 회사로, 전 세계에 아틀라시안(Atlassian), 프록터 앤드 갬블(Proctor & Gamble), 고대디(GoDaddy), 워싱턴포스트(Washington Post) 등 2만 9천여 기업 및 기관을 고객으로 두고 있다. 코드코브에서 정보가 침해됐다면, 이 고객사 전부에 영향이 있을 수 있어 조사 결과에 따라 대형 사건으로 발전할 가능성도 있다.

[이미지 = utoimage]


공격자들은 도커(Docker) 이미지의 취약점을 활용해 배시 업로더(Bash Uploader) 스크립트에 접근한 것으로 알려져 있다. 여기서부터 개발 환경 전체를 파악해 정보를 빼냈다고 한다. 이 사건을 알게 된 건 4월 1일의 일이고, 현재까지 진행된 조사를 통해 공격자들이 이미 수개월 전부터 정보를 침해한 것으로 밝혀졌다. 아직 공격자들의 최초 침투 날짜가 정확히 확인된 건 아니지만 최소 1월 31일부터라고 한다. 공격에 활용된 세 가지 배시 업로더들은 코드코브 서클씨아이 오브(Codecov CircleCI Orb), 깃허브를 위한 코드코브 액션즈(Codecov-acitons for GitHub), 코드코브 비트라이즈 페이즈(Codecove Bitrise Phase)다.

코드코브의 CEO 제러드 엥겔버그(Jerrod Engelberg)는 자사 웹사이트를 통해 사이버 범죄자들이 배시 업로더 스크립트들에 불법적으로 접근하는 데 성공했으며, 이를 통해 고객들의 지속적 배포(CI) 환경에 접근할 수 있는 비밀번호, 토큰, 키를 확보했다고 밝혔다. 이를 통해 공격자들은 고객들의 환경, 데이터스토어, 애플리케이션 코드를 자신들의 마음대로 변경시킬 수 있었다고 한다. 확보된 정보는 코드코브와 관련이 없는 서드파티 서버로 옮겨졌다고 한다. 하지만 고객들이 받을 피해의 규모는 아직 정확히 예측하기 어렵다.

수사가 진행되고 있지만 코드코브가 자사 망을 어떤 식으로, 어느 정도로까지 분리하고 있었는지가 피해 규모 집계의 핵심 요소 중 하나가 될 것으로 보인다. 또한 코드 서명 정책이 어떤 식으로 수립되어 있었고, 어떻게 실행되고 있었는지도 관건이다.

보안 전문가 존 루카이즈(John Loucaides)는 자신의 블로그를 통해 “결국 코드코브에 코드를 저장하거나, 코드코브를 통해 코드를 관리했던 고객사들이 코드 무결성과 보안성을 꼼꼼하게 점검해야 한다”고 말한다. 그러면서 “이렇게 애플리케이션 코드들이 집약되는 곳을 공격자들이 공략하는 데 성공하면 한 번 작업으로 큰 성과를 누릴 수 있다”며 “그런 서비스를 제공하는 곳은 코드 서명 정책과 망분리를 더 꼼꼼하게 할 필요가 있다”고 강조하기도 했다.

하지만 코드코브는 규모가 크지 않은 회사다. 따라서 수많은 고객사의 코드 무결성을 하나하나 점검하는 것이 불가능에 가깝다는 지적도 나오고 있다. 심지어 공격자들의 활동이 수개월 전부터 시작됐으니 말이다. 일각에서는 얼마 전 최악의 공급망 공격의 근원지가 된 솔라윈즈(SolarWinds)와 같은 큰 규모의 기업도 하지 못한 일이라는 비교가 나오기도 했다.

엥겔버그는 “강력한 보안 정책과 작업 프로시저를 수립해 준수하고 있고 보안 실천 사항도 건강하게 실천하고 있으며, 네트워크와 시스템을 끊임없이 모니터링 해 수상한 활동을 적발하고 있지만 그 어떤 조직도 100% 방어에 성공할 수 없다”며 “현재 이 사건 때문에 불편을 겪으신 일부 고객들에게 사과의 말씀을 전달하며, 현재 공격으로 인한 악영향이 최소화 될 수 있도록 노력하고 있음을 알려드린다”고 발표했다.

3줄 요약
1. 또 다른 공급망 공격, 최소 1월달부터 진행되고 있었음.
2. 이번 공급망 공격이 물꼬를 터 준 건 코드 점검 및 커버리지 확인 기업인 코드코브.
3. 코드코브는 전 세계 2만 9천여 고객사를 둔 곳으로, 이번 사건의 충격이 꽤 커질 수 있을 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)