[디지털경제뉴스 박시현 기자] 아쿠아 시큐리티의 보안 리서치 팀인 아쿠아 노틸러스는 전세계 기업에서 2억5천만개의 보안 취약점을 발견했다고 발표했다.
아쿠아 노틸러스에 따르면 보안 취약점이 발견된 기업에는 포춘 500대 기업 5개와 2개의 대형 사이버 보안 업체가 포함돼 있다.
아사프 모락(Assaf Morag) 아쿠아 노틸러스 수석 위협 연구원은 “이번 연구를 시작했을 때 목적은 레지스트리 구성 오류와 관련 기업을 찾고 숙련된 공격자가 어떻게 구성 오류가 노출된 레지스트리를 악용할지 파악하는 것이었다”며, “분석 결과가 놀랍기도 했고 크게 우려스러웠다. 발견한 리스크의 심각성을 고려해 해당 기업에 알리기로 했다”고 말했다.
주요 연구 결과는 다음과 같다.
◾노틸러스는 1,400개의 개별 호스트에서 기밀, 크리덴셜, 토큰 등 민감한 키를 발견했고 156개 호스트에서 사적이고 민감한 주소 정보를 찾아냈다.
◾연구원들은 중대 구성 오류가 있는 57개 레지스트리를 찾았는데 이 중 15개는 디폴트 패스워드로 관리자 액세스를 허용하고 있었다.
◾노틸러스는 업로드를 허용하는 2,100개 이상의 아티팩트 레지스트리를 감지했다. 이 경우 공격자가 악성 코드로 레지스트리를 감염시킬 수 있다. 익명의 유저 액세스가 잠재적 공격자의 민감한 정보 습득을 허용하는 경우도 있었다. 이 때 기밀, 키, 패스워드 등을 이용해 심각한 소프트웨어 공급망 공격을 감행하거나 소프트웨어 개발 라이프사이클(SDLC)을 감염시킬 수 있다.
포춘 500대 기업 중 하나인 IBM은 내부 컨테이너 레지스트리가 인터넷에 노출돼 있었는데 노틸러스가 분석 결과를 공개한 후 신속히 해당 환경의 인터넷 액세스를 차단하고 모든 관련 리스크를 경감할 수 있었다. 또 알리바바, 지멘스, 시스코 등도 파악됐다.
노틸러스는 많은 기업이 책임 있는 보안 공시 프로그램을 갖추고 있지 않다는 사실을 확인했다. 보안공시 프로그램은 보안 연구원이 잠재적 취약점을 체계적 방식으로 보고해 기업이 악의적 행위자에게 침해당하기 전에 이슈를 신속히 해결할 수 있는 중요한 수단이다.
노틸러스에 따르면 책임 있는 공시 프로그램을 확립하고 있는 기업의 경우 구성 오류를 일주일 이내에 해결할 수 있었다. 해당 프로그램이 없는 기업의 경우 보다 어렵고 오랜 과정을 거쳐야 했다.
노틸러스 연구원들은 분석 결과를 토대로 보안팀이 다음의 조처를 신속히 이행할 것을 권고했다.
◾인터넷에 노출된 레지스트리나 아티팩트 관리 시스템이 없는지 확인한다.
◾레지스트리가 의도적으로 인터넷과 연결돼 있다면 해당 버전이 취약하지 않은지, 디폴트 패스워드를 사용하고 있지 않은지 확인한다. 그리고 패스워드가 충분히 강력한지 검증하고 정기적으로 변경한다.
◾익명의 유저를 비활성화한다. 익명의 유저를 의도적으로 활성화하는 경우라면 권한을 최소화하고 리포지토리의 퍼블릭 아티팩트를 정기적으로 스캔해서 기밀이나 민감한 정보가 포함되지 않도록 확인한다.
◾노출됐을 가능성이 있는 기밀은 변경한다.
아사프 모락 연구원은 “연구 결과는 공격자가 기업의 SDLC를 침해하는 일이 얼마나 쉬운지, 또 단순한 구성 오류를 간과했을 때 심각한 위협이 될 수 있음을 보여준다”며 “앞으로 보안 팀은 책임 있는 보안 공시 프로그램을 확립하고 소프트웨어 공급망의 위협을 탐지 및 경감하는데 더 많이 투자해야 한다”고 강조했다.
