요약 : 보안 외신 시큐리티위크에 의하면 큐버네티스를 사용하는 수많은 조직들이 민감한 정보를 인터넷에 고스란히 노출시키고 있다는 경고가 보안 업체 아쿠아시큐리티(Aqua Security)로부터 나왔다고 한다. 큐버네티스 설정과 관련된 정보들이 공공 리포지터리들에 꽤나 많이 공개되어 있다는 것이다. 이런 식으로 큐버네티스를 잘못 운영하고 있는 기업들 중 포춘 500에 속하는 곳들이 상당 수 있다고 하는데, 아쿠아는 이런 현상을 두고 “시한 폭탄이 터지기 직전”이라고 표현한다. dockercfg와 dockerconfigjson이라는 파일이 노출되어 있는 게 문제의 핵심이다. 이 파일들에는 각종 크리덴셜이 저장되어 있다. 깃허브에서 조사를 진행했을 때 이 두 가지 유형의 파일을 가지고 있는 프로젝트가 8천 개 이상이라는 결과가 나왔다고 아쿠아는 설명한다.


배경 : 공공 리포지터리는 현대의 개발자들이라면 거의 모두가 사용하는 서비스다. 이곳에서 코드를 공유하고 협업도 이뤄간다. 개발자들 입장에서는 시간과 노력을 절약한다는 의미에서 리포지터리 사용이 필수 요소다. 하지만 개발자들이라고 해서 보안에 대해 잘 이해하고 있는 건 아니다. 공공 리포지터리임에도 프로젝트 내에 여러 기밀과 민감 정보를 포함시켜 둔 채 전체 공개로 설정하는 사례가 대단히 많다. 그래서 요즘 사이버 공격자들은 리포지터리 공략을 위해 여러 가지 고민을 이어가는 중이다.

말말말 : “공공 리포지터리에 각종 크리덴셜과 키 정보를 노출시키는 건 대단히 위험한 일입니다. 기업과 개인에 큰 피해를 일으킬 수 있습니다. 리포지터리의 안전한 사용 방법을 개발자들이 좀 더 숙지할 필요가 있습니다.” -시큐리티위크-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>