• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

우버로 강조되고 있는 깃허브 사용자 보안 실천사항 2017.11.29

깃허브를 통해 불거진 우버 사태...우버에는 보안 툴 충분해
사용자의 클라우드 계정 사용 정책 및 자동화 기술 도입 필수

[보안뉴스 문가용 기자] 이번 우버 사건으로 본의 아니게 주목을 받게 된 곳이 있으니 바로 깃허브(GitHub)다. 우버 내부 엔지니어들은 깃허브로 많은 업무 관련 데이터를 공유했었는데, 이러한 엔지니어 한 명의 깃허브 계정이 침해당하면서 사건이 시작된 것이기 때문이다. 물론 우버 침해 사건에 깃허브도 어느 정도 지분을 가지고 있다는 뜻은 아니다. 하지만 우버 엔지니어들이 저질렀던 실수는 깃허브 사용자들 중 대다수가 저지르고 있는 것이기도 하다.

[이미지 = iclickart]


우버를 옹호하는 건 아니지만, 깃허브 사용자로서 우버를 보자면 똑같은 잘못을 저지르고 혼자만 ‘독박을 쓴’ 운 없는 부류라고도 할 수 있다. 그리고 깃허브 사용자 실태를 보자면, 이 불운은 우버에서 끝날 것 같지 않다. 지난 달만 해도 두 건의 사건이 있었다. 중국의 한 드론 제조사는 깃허브에 비밀 키를 4년간 노출시켜왔다는 걸 뒤늦게 깨닫게 되었고, 어떤 범죄자들은 아웃소싱 회사를 통해 6만 4천 달러어치의 클라우드 인프라를 불법적으로 사용하고 있었다는 걸 들켰다. 이 범죄자들은 클라우드 인프라에 필요한 AWS비밀 키를 깃허브에서 훔쳐냈다고 말했다.

“깃허브와 같은 클라우드 서비스는 사기업들과 공공기관에 커다란 가치를 제공합니다. 특히 분포된 아웃소싱 인프라로 사업 운영을 하고자 한다면 깃허브와 같은 서비스는 최상의 선택이죠.” 보안 업체 업가드(UpGuard)의 CEO인 마이크 보크스(Mike Baukes)의 설명이다. “하지만 현실은 어떨까요? 잘못 설정된 클라우드 계정이 인터넷 공간을 기밀과 민감한 정보들로 어지럽히고 있습니다. 데이터 관리 프로세스가 제대로 정립되어 있지 않고, 실천되지 않는다는 것이죠.”

약 10년 전에 시작된 깃허브 서비스는 개발자들의 코드 저장 및 공유 서비스 중 타의 추종을 불허할 정도의 위치에 올랐다. 특히 데브옵스나 애자일 개발론이 확산되기 시작하면서 깃허브는 순풍을 탔다. 현재 깃허브 사용자는 2천 4백만 명이며, 기업으로 치면 약 1백 5십만 개 기업이 깃허브를 이용하고 있다. 디지털 환경에서 코드란 그 자체로 하나의 자산이며 경쟁력의 핵이기 때문에 깃허브에는 굉장히 민감하고 중요한 자료들이 저장되어 있다고 볼 수 있다.

“거기다가 암호화 키, 크리덴셜, 서버 환경설정 파일 등도 같이 저장한다고 해보세요. 실제로 많은 사용자들이 그렇게 하고 있고요. 깃허브가 얼마나 무시무시한 정보들로 가득한 곳인지 상상이 가죠?”

그렇지만 깃허브가 문제인 것은 아니다. 깃허브는 이미 보안 옵션을 충분히 제공하고 있다. 심지어 고객들에게 보안 교육도 간단하게 해준다고 한다. 클라우드 보안 문제가 거의 항상 그렇듯, 깃허브의 보안 문제는 클라이언트 기업 혹은 사용자로부터 나온다.

보안 업체 돔나인(Dome9)의 CEO 조하르 알론(Zohar Alon)은 “깃허브에는 코드 자동 검사 툴도 있다”고 강조한다. “이 툴을 가지고 AWS API 키들처럼 접근과 관련된 크리덴셜이 엠베드 되어 있는지를 살펴주죠. 이 기능은 개발을 진행하는 많은 기업들이 도입해도 괜찮을 정도입니다. 언제까지 코드 오류 점검을 수동으로 할 겁니까? 사람이 얼마나 오류를 많이 일으키는 존재인데요.”

결국 깃허브의 보안 관리는 클라이언트 및 사용자 측의 1) 거버넌스, 2) 기술적 통제, 3) 규칙 준수로 귀결될 수밖에 없다. 보크스는 “회사 내 정보를 개인 계정 및 공공 클라우드 계정에 저장할 수 없도록 하고, 이걸 지키도록 기술적, 정책적으로 관리해야 한다”고 말한다. “클라우드는 굉장한 기술이지만, 잘 써야만 하는 기술이기도 합니다.”

지켜야 할 건 또 있다. “환경설정은 반드시 ‘private’ 모드로 되어 있어야 하며 모든 깃허브 사용자들은 이중인증을 사용하는 것이 좋습니다. 기업은 공공 계정을 주기적으로 감사해야 하고, 사용 가능한 직원을 철저히 가려내야 합니다. 계정 접근과 사용에 있어서 직원들이 실명을 입력하도록 하는 것도 좋안 방법입니다.”

그러나 궁극적으로는 “계정 사용자의 행동 패턴 모니터링을 자동화 처리해서 보안 정책이 강제로라도 지켜질 수 있도록 해야 한다”고 보크스는 말을 맺는다. “사람의 관심과 기술의 빈틈없는 모니터링이 조화되어야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>