클라우드 환경에서 앱을 개발하고 구축하는 사용자들 중 일부가 소스코드 유출 취약점에 노출되어 왔다는 사실이 4년 만에 밝혀졌다. 아직 실질적인 피해 사례가 공개된 적은 없지만, 누군가 익스플로잇 방법을 이미 보유하고 있을 가능성이 높다고 한다.

[보안뉴스 문가용 기자] MS의 클라우드 서비스 중 하나인 애저 앱 서비스(Azure App Service)에서 취약점이 발견됐다. PHP, 파이선, 루비, 노드로 작성되고, 로컬 깃(Local Git)으로 구축되는 애플리케이션들의 소스코드를 노출시키는 취약점이라고 한다. 이 취약점에는 낫레짓(NotLegit)이라는 이름이 붙었다.


낫레짓 취약점을 제일 먼저 발견한 건 보안 업체 위즈(Wiz)다. 2017년 9월부터 존재해 온 취약점이라고 하며, 따라서 이미 이를 익스플로잇 하는 공격자들이 존재할 거라고 위즈 측은 보고 있다. 취약점 발견 후 위즈가 MS에 사실을 알린 건 2021년 10월 7일이고, 그 후 MS에서 위험 완화 대책을 마련했다고 한다. 하지만 위험이 완전히 사라진 건 아니라고 한다.

애저 앱 서비스는 애저 웹 앱스(Azure Web Apps)라고도 불리는데, 클라우드 기반의 웹 애플리케이션 및 웹사이트 호스팅 플랫폼이다. 이 애저 앱 서비스에 소스코드와 각종 아티팩트들을 구축하는 방법은 다양한데, 그 중 하나는 로컬 깃을 활용하는 것이다. 애저 앱 서비스 컨테이너에 깃 리포지터리를 만들어 활성화시키는 방법을 말한다. 그리고 이 리포지터리에서부터 코드를 서버로 전송하는 것이다.

이렇게 로컬 깃을 사용해 애저 앱 서비스를 구축할 때는 깃 리포지터리가 한 디렉토리에 생성되는데, 이 디렉토리(home/site/wwwroot)에는 누구나 접근이 가능하다고 한다. MS도 이를 잘 알고 있고, 따라서 파일들을 보호하기 위해 web.config라는 파일을 .git 폴더에 추가하는 방안을 마련했다. 즉 누구나 접근하는 걸 불가능하게 만든 것이다. 하지만 web.config 파일을 다룰 수 있는 건 마이크로소프트 인터넷 정보 서비스(IIS) 웹서버뿐이었다.

“이게 무슨 말이냐면, C#이나 ASP.NET을 사용하는 사람들이 IIS 웹서버를 통해 애플리케이션을 구축했을 때만 이러한 방법이 잘 통한다는 것입니다. 하지만 PHP나 루비, 파이선, 노드로 애플리케이션을 만들고, web.config를 처리할 수 없는 웹서버에서 구축하면 MS의 방법이 통하지 않는다는 뜻이 되고요. 공격자들은 여전히 필요한 파일들을 추출할 수 있게 됩니다.” 위즈의 설명이다.

일부 애저 애플리케이션 서비스 사용자들이 .git 폴더가 루트에 생성되도록 설정하는 경우가 있는데, 이럴 경우 의도치 않게 정보가 노출될 수 있다는 게 위즈의 경고 내용이다. MS도 이러한 내용을 인지하고 해당 취약점과 관련된 보안 권고문을 발표했다. “애저 앱 서비스 리눅스(Azure App Service Linux) 고객들에게만 해당되는 내용으로, 윈도 고객들에게는 아무런 영향이 없습니다”라는 설명도 덧붙었다.

“애플리케이션 내에서 파일들을 미리 생성한 후에 로컬 깃을 통해 코드를 앱 서비스 리눅스로 구축한 고객들만이 이번 취약점으로부터 영향을 받습니다. 그 외의 고객들에게는 아무런 해당 사항이 없다고 보고 안심하셔도 됩니다.”

또한 MS는 모든 PHP 이미지들을 업데이트 해서 .git 폴더에 정적 콘텐츠로서 올라가는 것을 원천적으로 봉쇄했다고 설명하기도 했다. MS는 낫레짓 취약점의 영향을 받은 모든 고객들에게 해당 사실을 알리고 있다고도 밝혔다.

3줄 요약
1. MS의 클라우드 애저 생태계에서 최소 4년 넘은 취약점 발견됨.
2. MS는 “일부 고객들에게만 해당되는 내용”이라며 위험 완화 대책만 발표.
3. 애저 서비스 활용해 앱 구축하는 고객들 중 일부가 소스코드 유출시킬 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>