클라우드 서비스와 개발 협업도구에 저장된 자격증명 정보가 노출돼 대규모 개인정보가 유출되는 사고가 잇따르고 있다.
15일 개인정보보호위원회는 클라우드 기반 서비스와 소프트웨어 개발 협업 환경이 확대됨에 따라 자격증명 관리를 강화할 것을 당부했다. 최근 개발 협업도구 등에 저장된 자격증명이 외부에 노출되거나 탈취돼 개인정보가 유출되는 사고가 발생하고 있다.
실제로 한 기업(C사)은 깃허브에 노출된 클라우드(AWS) 접근키로 인해 개인정보 약 1000만건이 유출됐다. 또 다른 기업들 역시 깃허브 계정 정보 탈취, 데이터베이스 접속정보 노출 등으로 각각 240만건(A사), 42만건(B사)의 개인정보가 유출되는 피해를 봤다.
이는 개발자가 관리 편의를 위해 소스코드 저장소나 협업도구에 접근키, 비밀번호, API 토큰 등 자격증명을 저장하는 경우 발생한다. 공격자는 이를 악용해 개인정보처리시스템, 데이터베이스 등에 무단으로 접근할 수 있다.
이에 개인정보위는 사업자에게 보호조치를 권고했다. 주요 내용은 ▲소스코드에 자격증명 저장·노출 방지 ▲임시 자격증명 사용 ▲자격증명 사용 가능 IP주소·네트워크 제한 ▲다중인증(MFA) 적용 및 최소권한 원칙 준수 ▲자격증명 사용 내역 정기 점검 등이다.
또한 협업도구에서 인증서 파일 등이 관리되지 않도록 제외 설정하고, 기밀정보 자동 탐지 도구를 활용해 사전에 노출 여부를 점검할 것을 제안했다.
양청삼 개인정보위 사무처장은 "클라우드 환경에서는 자격증명 하나만으로도 중요 시스템에 접근할 수 있어 안전한 계정·권한관리가 무엇보다 중요하다"고 밝혔다. 이어 "실수로 자격증명을 노출한 경우 즉시 폐기하고 새로운 자격증명으로 교체해야 한다"고 강조했다.