코드 점검 서비스 회사 코드코브, 수개월 동안 침해 사실 몰랐다

또 다른 공급망 공격이 발견됐다. 공격자들이 코드 점검 서비스인 코드코브를 침해해 고객사의 코드들에 접근한 것이다. 이런 활동이 시작된 건 최소 1월부터라고 하는데, 코드코브는 4월 1일까지 전혀 몰랐다고 한다. 공급망 공격이 대유행의 조짐을 보이고 있다.

[보안뉴스 문가용 기자] 미국의 사법 당국이 코드코브(Codecov)라는 기업에서 발생한 정보 침해 사고에 대한 수사에 나섰다. 코드코브는 개발자들이 코드베이스 커버리지를 계산하고 점검하게 해 주는 도구를 만들어 판매하는 회사로, 전 세계에 아틀라시안(Atlassian), 프록터 앤드 갬블(Proctor & Gamble), 고대디(GoDaddy), 워싱턴포스트(Washington Post) 등 2만 9천여 기업 및 기관을 고객으로 두고 있다. 코드코브에서 정보가 침해됐다면, 이 고객사 전부에 영향이 있을 수 있어 조사 결과에 따라 대형 사건으로 발전할 가능성도 있다.

[이미지 = utoimage]

공격자들은 도커(Docker) 이미지의 취약점을 활용해 배시 업로더(Bash Uploader) 스크립트에 접근한 것으로 알려져 있다. 여기서부터 개발 환경 전체를 파악해 정보를 빼냈다고 한다. 이 사건을 알게 된 건 4월 1일의 일이고, 현재까지 진행된 조사를 통해 공격자들이 이미 수개월 전부터 정보를 침해한 것으로 밝혀졌다. 아직 공격자들의 최초 침투 날짜가 정확히 확인된 건 아니지만 최소 1월 31일부터라고 한다. 공격에 활용된 세 가지 배시 업로더들은 코드코브 서클씨아이 오브(Codecov CircleCI Orb), 깃허브를 위한 코드코브 액션즈(Codecov-acitons for GitHub), 코드코브 비트라이즈 페이즈(Codecove Bitrise Phase)다.

코드코브의 CEO 제러드 엥겔버그(Jerrod Engelberg)는 자사 웹사이트를 통해 사이버 범죄자들이 배시 업로더 스크립트들에 불법적으로 접근하는 데 성공했으며, 이를 통해 고객들의 지속적 배포(CI) 환경에 접근할 수 있는 비밀번호, 토큰, 키를 확보했다고 밝혔다. 이를 통해 공격자들은 고객들의 환경, 데이터스토어, 애플리케이션 코드를 자신들의 마음대로 변경시킬 수 있었다고 한다. 확보된 정보는 코드코브와 관련이 없는 서드파티 서버로 옮겨졌다고 한다. 하지만 고객들이 받을 피해의 규모는 아직 정확히 예측하기 어렵다.

수사가 진행되고 있지만 코드코브가 자사 망을 어떤 식으로, 어느 정도로까지 분리하고 있었는지가 피해 규모 집계의 핵심 요소 중 하나가 될 것으로 보인다. 또한 코드 서명 정책이 어떤 식으로 수립되어 있었고, 어떻게 실행되고 있었는지도 관건이다.

보안 전문가 존 루카이즈(John Loucaides)는 자신의 블로그를 통해 “결국 코드코브에 코드를 저장하거나, 코드코브를 통해 코드를 관리했던 고객사들이 코드 무결성과 보안성을 꼼꼼하게 점검해야 한다”고 말한다. 그러면서 “이렇게 애플리케이션 코드들이 집약되는 곳을 공격자들이 공략하는 데 성공하면 한 번 작업으로 큰 성과를 누릴 수 있다”며 “그런 서비스를 제공하는 곳은 코드 서명 정책과 망분리를 더 꼼꼼하게 할 필요가 있다”고 강조하기도 했다.

하지만 코드코브는 규모가 크지 않은 회사다. 따라서 수많은 고객사의 코드 무결성을 하나하나 점검하는 것이 불가능에 가깝다는 지적도 나오고 있다. 심지어 공격자들의 활동이 수개월 전부터 시작됐으니 말이다. 일각에서는 얼마 전 최악의 공급망 공격의 근원지가 된 솔라윈즈(SolarWinds)와 같은 큰 규모의 기업도 하지 못한 일이라는 비교가 나오기도 했다.

엥겔버그는 “강력한 보안 정책과 작업 프로시저를 수립해 준수하고 있고 보안 실천 사항도 건강하게 실천하고 있으며, 네트워크와 시스템을 끊임없이 모니터링 해 수상한 활동을 적발하고 있지만 그 어떤 조직도 100% 방어에 성공할 수 없다”며 “현재 이 사건 때문에 불편을 겪으신 일부 고객들에게 사과의 말씀을 전달하며, 현재 공격으로 인한 악영향이 최소화 될 수 있도록 노력하고 있음을 알려드린다”고 발표했다.

3줄 요약
1. 또 다른 공급망 공격, 최소 1월달부터 진행되고 있었음.
2. 이번 공급망 공격이 물꼬를 터 준 건 코드 점검 및 커버리지 확인 기업인 코드코브.
3. 코드코브는 전 세계 2만 9천여 고객사를 둔 곳으로, 이번 사건의 충격이 꽤 커질 수 있을 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)