뉴스42. 美 CISA 협력업체 직원, 정부 핵심 클라우드 키 깃허브에 공개 노출

기사 요약:

미국의 사이버 안보를 총괄하는 CISA의 외부 용역 업체 직원이 개인적인 편의를 위해 보안 수칙을 어기고, 공용 깃허브에 정부 클라우드 최고 관리자 자격증명 등 치명적인 민감 정보를 장기간 노출한 중대한 보안 사고가 발생했다.

 

1. CISA 협력업체 '나이트윙'의 한 관리자가 'Private-CISA'라는 공용 깃허브 저장소에 약 6개월간 AWS GovCloud 최고 관리자 자격증명과 내부 시스템 접근 비밀번호를 평문으로 노출했다.

 

2. 유출된 데이터에는 악성 백도어 코드를 유포할 수 있는 아티팩토리(Artifactory) 자격증명까지 포함되어 있었으며, 조사 결과 해당 직원은 깃허브의 보안 자동 차단 기능을 고의로 무력화한 뒤 개인 PC와의 단순 파일 동기화 용도로 이를 악용한 것으로 드러났다.

 

3. CISA는 유출 통보를 받은 뒤 26시간 만에 저장소를 비공개 처리했으나 핵심 인증키가 48시간 동안이나 유효한 상태로 방치되어 초동 대응의 허점을 보였으며, 현재 실제 악용 여부에 대해 내부 조사를 진행하고 있다.

개인 의견:

기사의 국가 최고 수준의 보안을 다루는 기관의 협력업체에서 비밀번호를 평문으로 올리는 초보적인 정보 유출 사고가 발생했다는 부분을 읽으면서 보안에 있어 가장 핵심은 지속적인 관리라는 것을 느꼈다. 얼마나 높은 수준의 보안 체계 및 시스템이 있더라도 취약점이 있는지 지속적으로 관리하는게 필요하다고 느꼈다.

 

<용어 정리>

ISA: 미국의 사이버 안보 및 핵심 인프라 보안을 총괄하는 국토안보부 산하 국가 기관이다.

AWS GovCloud: 미국 정부 기관의 민감한 데이터와 기밀 업무를 안전하게 처리하기 위해 엄격한 보안 규정을 적용하여 특수 설계된 아마존의 클라우드 환경이다.

평문 (Plaintext): 암호화 처리가 되지 않아 누구나 바로 읽고 내용을 확인할 수 있는 상태의 원본 데이터를 뜻한다.

데브섹옵스 (DevSecOps): 개발(Development), 보안(Security), 운영(Operations)을 결합한 용어로, 소프트웨어 개발의 모든 단계에 보안 검증을 내재화하는 방법론이다.

아티팩토리 (Artifactory): 소프트웨어 개발 시 생성되는 바이너리, 라이브러리 등 다양한 구성 요소와 패키지들을 중앙에서 보관하고 배포하는 저장소 관리 도구이다.

 

뉴스 링크: https://www.boannews.com/media/view.asp?idx=143740&page=1&kind=4