​수천 개의 레지스트리를 통해 수억 개가 넘는 아티팩트와 소프트웨어 구성 요소들이 고스란히 노출되어 있다. 이는 공격자들이 기뻐할 만한 소식이다. 노출된 정보에 접근하는 것만으로 큰 이득을 볼 수 있기 때문이다.

[보안뉴스 문가용 기자] 세계에서 가장 강력하고 막강한 브랜드 파워를 자랑하는 대기업들이라고 할지라도 소프트웨어 레지스트리와 리포지터리를 잘못 설정하고 관리함으로써 생기는 리스크에서 자유로울 수 없다는 사실이 새롭게 발표됐다. 보안 업체 아쿠아시큐리티(Aqua Security)가 발표한 내용으로 상당히 ‘쇼킹’하다.

​

[이미지 = utoimage]

아쿠아시큐리티가 최근 조사를 진행했을 때 인터넷을 통해 접근이 가능한 레지스트리와 리포지터리 수천 개에 다음과 같은 요소들이 아무런 보호 장치 없이 노출되어 있었다고 한다.

1) 소프트웨어 아티팩트 2억 5천만여 개

2) 컨테이너 이미지 6만 5천여 개

3) 비밀, 키, 비밀번호 등과 같은 민감 데이터에 대한 접근을 허용하고 있는 호스트가 1천 4백여 개

이러한 자원들은 공격자들이 공급망 공격을 실시할 때 매우 유용하다고 한다.

광범위하게 노출된 레지스트리

치명적으로 잘못 설정된 레지스트리는 57개 발견됐다. 그 중 15개는 공격자들이 관리자 권한을 가져갈 수 있도록 해 주었다. 2100개의 아티팩티 레지스트리는 사용자들에게 업로드 권한을 주었으며, 이 때문에 익명의 사용자가 악성 코드를 퍼트리는 것도 가능했다. 컨테이너 이미지 레지스트리의 경우 무려 1만 2800개가 인터넷을 통해 접근이 가능했고, 이 중 2839개는 익명을 가진 사용자의 접근도 허용하고 있었다.

이 수많은 레지스트리들은 기업과 기관이 소유하고 있던 것이었다. 실제 수천 개 기업들이 이러한 레지스트리에 영향을 받고 있는 것으로 조사됐고, 그 중 포춘 500대 기업도 다수 포함되어 있었다. 테크 기업의 대명사 중 하나인 IBM도 있었다. IBM의 경우 내부 컨테이너 레지스트리를 인터넷을 통해 노출시키고 있었고, 그러므로 각종 민감 데이터의 유출 가능성을 높이고 있었다. 현재는 문제가 해결된 상태다.

지멘스와 시스코, 알리바바도 있었다. 전부 IT 분야에서 손꼽히는 조직들이다. 심지어 두 개의 사이버 보안 기업들이 소프트웨어 비밀을 노출시키고 있기도 했다. 다행이라면 아쿠아가 이러한 사실을 알리자 전부 문제를 시정했다는 것이다. 참고로 아쿠아시큐리티는 레드햇쿼이(Red Hat Quay) 컨테이너 레지스트리, 제이프로그 아티팩토리(JFrog Artifactory), 소나타입 넥서스(Sonatype Nexus) 아티팩트 레지스트리를 집중적으로 조사했다고 한다.

아쿠아시큐리티의 데이터 분석가 아사프 모락(Assaf Morag)은 “거의 모든 조직들이 레지스트리들을 운영하고 있는데, 그 레지스트리가 안전하게 설정되어 있는지 살펴보는 시간을 가질 필요가 있어 보인다”고 말한다. “전체 공개로 설정된 레지스트리에는 비밀을 보관하지 않고, 민감한 데이터를 저장한 레지스트리는 비밀로 설정한다는 큰 규칙을 지키면 됩니다.”

위험한 레지스트리들과 리포지터리들

소프트웨어 개발 및 배포 공급망에 있어 레지스트리와 리포지터리, 아티팩트 관리 시스템이 차지하는 비중은 점점 커지고 있다. 그만큼 이런 저장소들에 대한 개발자들의 의존도가 높아지고 있다는 것이다. 하지만 늘어나는 사용량에 비해 보안 실천 사항이 지켜지는 비율은 크게 늘어나지 않았다. 아쿠아시큐리티의 조사 결과 역시 그 점을 잘 보여주고 있다.

개발자들은 이런 저장소 서비스들에 각종 데이터를 저장하고 관리한다. 또 소프트웨어와 라이브러리, 도구들 역시 저장, 관리, 공유한다. 그러면서 작업을 원활히 하면서 생산성을 높인다. 소프트웨어에 대한 수요가 높아지는 때에 이런 서비스들이 개발 프로세스의 핵심을 차지하고 있다고 해도 과언이 아니다. 이런 코드 저장소를 통해 현대 소프트웨어 제작의 또 다른 핵심 요소인 오픈소스들도 광범위하게 공유된다.

이를 이해하고 있는 사이버 공격자들은 최근 소프트웨어 레지스트리들을 집중적으로 공략하고 있다. 악성 코드를 특정 기업의 개발 환경에 몰래 주입하려 한다거나, 유명한 패키지와 이름이 비슷한 악성 패키지를 만들어 개발자들이 무심코 다운로드 받도록 한다거나, 민감한 데이터가 저장되어 있는 패키지를 찾아 정보를 훔치는 식이다. 적잖은 시도가 최근 들어 적발되고 있다.

그렇기 때문에 잘못 설정되거나 관리되는 레지스트리는 곧바로 공격자들의 레이더망에 들어가게 된다. 설정과 관리가 잘못되는 이유는 대부분 ‘편리’ 때문이다. 개발자들은 작업을 좀 더 쉽고 편리하게 하기 위해 레지스트리를 전체 공개로 돌려놓는다. 각종 로그인 크리덴셜을 코드 안에 저장해놓고 프로젝트 개발을 진행하다가 삭제하는 걸 잊는다. 디폴트 비밀번호를 개발 중에 사용하다가 더 어렵게 고쳐놓지 않는다. 그러면서 설정 사고가 발생하는 것이다.

“포춘 100대 테크 기업의 엔지니어링 팀이 컨테이너 레지스트리를 잘못 설정해 사용하던 경우도 있었습니다. 너무나 많은 민감 정보가 저장되어 있었는데, 그 레지스트리가 전체 공개로 설정되어 있었습니다. 얼마나 민감한 정보가 많이 담겨 있었는지 그 회사에서는 레지스트리가 일정 기간 노출되어 있었다는 사실을 파악하고는 그 레지스트리와 관련된 프로젝트 자체를 접었습니다. 어마어마한 손해를 입었죠. 저장소의 관리는 기업 경영과 곧바로 연결되는 문제입니다.”

3줄 요약

1. 너무나 많은 기업들이 레지스트리를 제대로 관리하고 있지 않음.

2. 그래서 민감한 정보가 다량으로 노출되어 있음.

3. 레지스트리 관리는 사업 비용과 직결되는 문제.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=117482&page=2&mkind=1&kind=1)]​