개인정보위 “클라우드·개발도구 자격증명 관리 강화해야”

개인정보보호위원회(이하 개인정보위)는 클라우드와 개발 협업도구를 사용하는 사업자에게 접근키, 인증토큰, 에이피아이(API) 키 등 자격증명 관리를 강화해야 한다고 15일 밝혔다.

자격증명은 시스템이나 서비스에 접속할 권한을 확인하는 정보다. 클라우드 접근키, 데이터베이스 계정, 인증토큰, API 키 등이 여기에 해당한다. 이 정보가 외부에 노출되면 공격자는 개인정보처리시스템, 데이터베이스, 클라우드 서비스에 무단 접근할 수 있다.

개인정보위는 최근 개발 협업도구와 클라우드 환경에 저장된 자격증명이 외부에 노출되거나 탈취돼 개인정보가 유출되는 사고가 잇따르고 있다고 설명했다. 특히 개발자가 관리 편의를 위해 소스코드나 협업도구에 자격증명을 저장하면 공격자가 이를 악용할 수 있다.

실제 국내 사례도 확인됐다. A사는 공격자가 스피어피싱 메일로 깃허브(GitHub) 계정 접근권한을 확보한 뒤 아마존웹서비스(AWS) 접근키를 탈취해 내부 데이터베이스에 저장된 개인정보 약 240만건을 열람했다.

B사는 깃허브에 평문으로 저장된 데이터베이스 접속정보가 노출돼 개인정보 약 42만건이 유출됐다. C사는 깃허브에 노출된 AWS 접근키가 악용돼 개인정보 약 1000만건이 유출됐다. D사는 소스코드에 하드코딩된 시스템 접근 자격증명인 시크릿 키가 노출돼 개인정보 유출 사고가 발생했다.

개인정보위는 사업자에게 소스코드에 접근키, 비밀번호, 애플리케이션 프로그래밍 인터페이스(API) 키 등 자격증명이 저장되거나 노출되지 않도록 설정하라고 권고했다. 장기 자격증명 대신 일정 시간이 지나면 자동 만료되는 임시 자격증명을 쓰는 것도 권고했다. 예를 들어 AWS 아이에이엠(IAM) 역할 기반 접근통제 체계는 일정 시간만 유효한 임시 자격증명을 발급해 운영할 수 있다.

자격증명을 사용할 수 있는 아이피(IP) 주소와 네트워크 구간을 제한하는 조치도 필요하다. 데이터베이스와 클라우드 관리 콘솔 등 주요 시스템에는 다중인증(MFA)을 적용해야 한다. 접근권한은 최소권한 원칙에 따라 부여해야 한다. 사용 내역을 정기적으로 점검하고 불필요하거나 장기간 쓰지 않은 권한은 즉시 회수해야 한다.

개발 협업도구에 자격증명이 저장되지 않도록 하는 조치도 제시했다. 깃허브에서는 .gitignore 파일에 인증서와 환경설정 파일(.env) 등을 등록해 코드저장소 업로드 대상에서 제외할 수 있다. 기밀정보 자동 탐지 도구를 활용해 코드저장소 업로드 전 자격증명 노출 여부를 점검하는 방법도 있다. 깃허브는 시크릿 스캐닝(Secret Scanning)과 푸시 프로텍션(Push Protection) 기능을 제공한다.

개인정보위는 소프트웨어 엔지니어 대상 정기 교육과 코드 리뷰도 필요하다고 봤다. 코드 리뷰는 개발한 코드가 서비스에 적용되기 전 동료 엔지니어가 안전성 관점에서 검토하는 절차다. 이 과정에서 하드코딩된 비밀번호, 접근키 등 자격증명이 포함됐는지 확인해야 한다.

자격증명 노출이 확인되면 해당 자격증명을 즉시 폐기하고 새 자격증명으로 교체해야 한다. 코드저장소 작업 공간에서 파일을 삭제하더라도 형상관리 이력에는 정보가 남을 수 있기 때문이다.

양청삼 개인정보위 사무처장은 “클라우드 환경에서는 접근키, 데이터베이스 계정, API 키 등 자격증명 하나만으로도 중요 시스템에 접근할 수 있는 만큼 안전한 계정·권한관리가 무엇보다 중요하다”며 “사업자는 자격증명이 소스코드나 개발 협업도구에 저장되지 않도록 관리하고 임시 자격증명 사용과 접근통제 강화를 통해 개인정보 유출사고를 예방해야 한다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network