보안

아쿠아시큐리티, 전 세계 기업서 2.5억개 보안 취약점 발견

이종현

[디지털데일리 이종현기자] 클라우드 보안기업 아쿠아시큐리티는 자사 보안 리서치 팀 아쿠아 노틸러스가 2억5000만개의 보안 취약점을 발견했다고 3일 밝혔다.

아쿠아시큐리티가 발견한 것은 수천개의 잘못 구성된 컨테이너 이미지, 레드햇 키 레지스트리, 제이프로그 아티팩토리, 소나타입 넥서스, 아티팩트 레지스트리를 통해 노출된 2억5000만개의 아티팩트(Artifact)와 6만5600개의 컨테이너 이미지다.

레지스트리와 아티팩트 관리 시스템은 소프트웨어(SW) 공급망의 핵심 요소로 위협 행위자의 주요 표적이 된다. 많은 기업이 의도적으로 자사 컨테이너 및 아티팩트 레지스트리를 외부에 공개하는데, 해당 레지스트리를 통해 유출되는 민감 정보와 기밀을 인지하거나 제어하지 못하는 경우가 발생하곤 한다.

아쿠아시큐리티는 발견된 것중에는 많은 경우 중요 기밀과 민감한 자체 코드 등이 포함돼 있다고 경고했다. 포춘 500대 기업 중 5개 기업과 수천여개 기업이 위험을 안고 있다는 설명이다.

공격자가 액세스를 확보하면 전체 SW 개발 라이프사이클(SDLC) 툴체인과 여기에 저장된 아티팩트를 악용할 가능성이 있다. 아쿠아시큐리티의 연구에 따르면 이런 고도의 중요한 환경을 적절히 보호하지 못했거나 또는 민감한 정보가 오픈소스 영역으로 유출된 경우로 해당 환경이 인터넷에 노출되고 공격에 취약해져서 심각하고 치명적인 공격으로 이어질 수도 있다.

아사프 모락(Assaf Morag) 아쿠아 노틸러스 수석 위협 연구원은 “본 연구를 시작했을 때 우리의 목적은 레지스트리 구성 오류와 관련 기업을 찾고 숙련된 공격자가 어떻게 구성 오류가 노출된 레지스트리를 악용할지 파악하는 것이었다”며 “분석 결과가 놀랍기도 했고 크게 우려스러웠다. 우리가 발견한 리스크의 심각성을 고려해서 해당 기업에 알리기로 했다”고 말했다.

아쿠아시큐리티는 각 기업들의 보안팀이 ▲인터넷에 노출된 레지스트리나 아티팩트 관ㄹ ㅣ시스템이 없는지 확인 ▲레지스트리가 의도적으로 인터넷과 연결돼 있다면 해당 버전이 취약하지 않은지, 디폴트 패스워드를 사용하고 있지 않은지 확인하고 정기적으로 변경 ▲익명의 유저 비활성화 ▲노출됐을 가능성이 큰 기밀은 변경 등의 조치를 할 것을 권고했다.

모락 연구원은 “우리의 연구 결과는 공격자가 기업의 SDLC를 침해하는 일이 얼마나 쉬운지, 또 단순한 구성 오류를 간과했을 때 심각한 위협이 될 수 있음을 보여준다”며 “앞으로 보안 팀은 책임 있는 보안 공시 프로그램을 확립하고 SW 공급망의 위협을 탐지 및 경감하는데 더 많이 투자해야 한다”고 피력했다.

이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널