Home > 전체기사

코드 점검 서비스 회사 코드코브, 수개월 동안 침해 사실 몰랐다

  |  입력 : 2021-04-19 15:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
또 다른 공급망 공격이 발견됐다. 공격자들이 코드 점검 서비스인 코드코브를 침해해 고객사의 코드들에 접근한 것이다. 이런 활동이 시작된 건 최소 1월부터라고 하는데, 코드코브는 4월 1일까지 전혀 몰랐다고 한다. 공급망 공격이 대유행의 조짐을 보이고 있다.

[보안뉴스 문가용 기자] 미국의 사법 당국이 코드코브(Codecov)라는 기업에서 발생한 정보 침해 사고에 대한 수사에 나섰다. 코드코브는 개발자들이 코드베이스 커버리지를 계산하고 점검하게 해 주는 도구를 만들어 판매하는 회사로, 전 세계에 아틀라시안(Atlassian), 프록터 앤드 갬블(Proctor & Gamble), 고대디(GoDaddy), 워싱턴포스트(Washington Post) 등 2만 9천여 기업 및 기관을 고객으로 두고 있다. 코드코브에서 정보가 침해됐다면, 이 고객사 전부에 영향이 있을 수 있어 조사 결과에 따라 대형 사건으로 발전할 가능성도 있다.

[이미지 = utoimage]


공격자들은 도커(Docker) 이미지의 취약점을 활용해 배시 업로더(Bash Uploader) 스크립트에 접근한 것으로 알려져 있다. 여기서부터 개발 환경 전체를 파악해 정보를 빼냈다고 한다. 이 사건을 알게 된 건 4월 1일의 일이고, 현재까지 진행된 조사를 통해 공격자들이 이미 수개월 전부터 정보를 침해한 것으로 밝혀졌다. 아직 공격자들의 최초 침투 날짜가 정확히 확인된 건 아니지만 최소 1월 31일부터라고 한다. 공격에 활용된 세 가지 배시 업로더들은 코드코브 서클씨아이 오브(Codecov CircleCI Orb), 깃허브를 위한 코드코브 액션즈(Codecov-acitons for GitHub), 코드코브 비트라이즈 페이즈(Codecove Bitrise Phase)다.

코드코브의 CEO 제러드 엥겔버그(Jerrod Engelberg)는 자사 웹사이트를 통해 사이버 범죄자들이 배시 업로더 스크립트들에 불법적으로 접근하는 데 성공했으며, 이를 통해 고객들의 지속적 배포(CI) 환경에 접근할 수 있는 비밀번호, 토큰, 키를 확보했다고 밝혔다. 이를 통해 공격자들은 고객들의 환경, 데이터스토어, 애플리케이션 코드를 자신들의 마음대로 변경시킬 수 있었다고 한다. 확보된 정보는 코드코브와 관련이 없는 서드파티 서버로 옮겨졌다고 한다. 하지만 고객들이 받을 피해의 규모는 아직 정확히 예측하기 어렵다.

수사가 진행되고 있지만 코드코브가 자사 망을 어떤 식으로, 어느 정도로까지 분리하고 있었는지가 피해 규모 집계의 핵심 요소 중 하나가 될 것으로 보인다. 또한 코드 서명 정책이 어떤 식으로 수립되어 있었고, 어떻게 실행되고 있었는지도 관건이다.

보안 전문가 존 루카이즈(John Loucaides)는 자신의 블로그를 통해 “결국 코드코브에 코드를 저장하거나, 코드코브를 통해 코드를 관리했던 고객사들이 코드 무결성과 보안성을 꼼꼼하게 점검해야 한다”고 말한다. 그러면서 “이렇게 애플리케이션 코드들이 집약되는 곳을 공격자들이 공략하는 데 성공하면 한 번 작업으로 큰 성과를 누릴 수 있다”며 “그런 서비스를 제공하는 곳은 코드 서명 정책과 망분리를 더 꼼꼼하게 할 필요가 있다”고 강조하기도 했다.

하지만 코드코브는 규모가 크지 않은 회사다. 따라서 수많은 고객사의 코드 무결성을 하나하나 점검하는 것이 불가능에 가깝다는 지적도 나오고 있다. 심지어 공격자들의 활동이 수개월 전부터 시작됐으니 말이다. 일각에서는 얼마 전 최악의 공급망 공격의 근원지가 된 솔라윈즈(SolarWinds)와 같은 큰 규모의 기업도 하지 못한 일이라는 비교가 나오기도 했다.

엥겔버그는 “강력한 보안 정책과 작업 프로시저를 수립해 준수하고 있고 보안 실천 사항도 건강하게 실천하고 있으며, 네트워크와 시스템을 끊임없이 모니터링 해 수상한 활동을 적발하고 있지만 그 어떤 조직도 100% 방어에 성공할 수 없다”며 “현재 이 사건 때문에 불편을 겪으신 일부 고객들에게 사과의 말씀을 전달하며, 현재 공격으로 인한 악영향이 최소화 될 수 있도록 노력하고 있음을 알려드린다”고 발표했다.

3줄 요약
1. 또 다른 공급망 공격, 최소 1월달부터 진행되고 있었음.
2. 이번 공급망 공격이 물꼬를 터 준 건 코드 점검 및 커버리지 확인 기업인 코드코브.
3. 코드코브는 전 세계 2만 9천여 고객사를 둔 곳으로, 이번 사건의 충격이 꽤 커질 수 있을 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화