< 회사 기밀 '줄줄' 샌다··· 깃허브 저장 | 커리어리

< 회사 기밀 '줄줄' 샌다··· 깃허브 저장소에 숨겨진 데이터 유출 위험 > > 해커가 깃허브에서 기밀을 찾는 법 해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Nations), 에퀴팩스(Equifax), 코드코브(Codecov), 스타벅스(Starbucks), 우버(Uber) 등은 이에 주의가 소홀했던 대가를 치렀다. 오픈소스 코드를 사용하지 않기 때문에 위험하지 않다고 말하는 기업도 있겠지만 실상은 그렇지 않다. 작업 프로젝트에 개인 저장소를 쓰는 개발자가 많기 때문이다. 깃허브의 관련 보고서(State of Secrets Sprawl)에 의하면 데이터 유출의 85%는 개발자의 개인 저장소에서 발생한다. 기업이 소유한 저장소 내에서 발생하는 유출 사건은 15%에 불과하다. 개발자는 셸 명령 기록, 환경 파일, 저작권 있는 콘텐츠 등을 남긴다. 때때로 (개발자는) 프로세스를 간소화하려다가 실수를 한다. 일부 도구는 프로세스를 더 빠르고 효율적으로 만들 수 있다. 휴먼(HUMAN)의 보안 연구원 가브리엘 컬리그는 “공격자는 깃허브 콘텐츠를 스크랩하고, 민감한 정보를 추출하는 자동화 봇을 실행한다”라고 말했다. 이러한 봇은 항상 실행 상태로 둘 수 있다. 해커가 몇 초 또는 몇 분 만에 ‘실수’를 감지할 수 있다는 의미다. 일단 기밀이 발견되면 공격자는 이를 쉽게 악용할 수 있다. 푸리에는 “이를테면 AWS 키를 찾으면 기업의 모든 클라우드 인프라에 액세스할 수 있다”라면서, “특정 회사에서 일하는 개발자를 대상으로 기업 자산의 일부를 살펴보는 건 매우 간단하다. 기밀의 성격에 따라 해커는 공급망 공격을 시작하고 기업 고객의 안전을 위협하는 등의 많은 일을 할 수 있다”라고 전했다. > 기업은 깃허브 유출로부터 어떻게 기밀을 보호할 수 있는가? 기밀 데이터의 양이 증가하고 있기 때문에 기업들은 너무 늦기 전에 이를 제대로 탐지할 필요가 있다. 깃허브에는 암호, SSH 키 또는 API 토큰 같은 텍스트 문자열을 찾는 자체 ‘기밀 스캐닝 파트너 프로그램’이 있다. 깃허브는 40곳 이상의 클라우드 업체와 협력하여 퍼블릭 저장소에 노출된 API 키를 자동으로 수정했다. 깃허브 대변인은 <CSO>와의 인터뷰에서 “생태계를 보호하기 위해 이러한 파트너십을 지속적으로 확장하고 있다. 현재, 매일 100개 이상의 노출된 깃허브 API 키를 해지하고 있으며, 신규 개발자에게 자격증명 보안의 중요성을 알리고 있다”라고 밝혔다. 그리고, .gitignore 파일에 올바른 설정을 추가를 통해 깃과 깃허브닷컴에 어떤 파일을 추적하여 인터넷에 업로드하지 않아야 하는지 명시할수 있다. 몇몇 보안 스타트업도 이러한 문제를 해결하기 위해 고군분투하고 있다. 이를테면 기티릭스(GittyLeaks), 시크릿옵스(SecretOps), 깃릭스(gitLeaks), 깃가디언(GitGuardian)은 비즈니스 사용자와 개인 사용자 모두에게 몇 가지 추가 보호 계층을 제공하는 것을 목표로 한다. 일부는 유출된 기밀을 몇 초안에 감지해 개발자와 기업이 즉각적인 조치를 취할 수 있도록 한다. 즉, “전체 개발 라이프사이클, 도커 컨테이너, 서로 다른 유형의 데이터를 통틀어 소프트웨어상의 모든 코드를 스캔한다. 이를 통해 기밀을 찾아 이를 철회하려고 한다” 하지만 이상적으로 가장 좋은 전략은 기밀 데이터를 전혀 유출하지 않거나 최대한 적게 누설하는 것이다. 이를 위해서는 해당 문제에 관한 인식을 높이는 게 도움이 된다. 컬리그는 “보안 코드를 작성하고 봇을 사전에 중지하도록 개발자를 교육하는 것이 유출된 기밀 때문에 두더지 잡기 게임을 하는 것보다 낫다”라고 말했다

회사 기밀 '줄줄' 샌다··· 깃허브 저장소에 숨겨진 데이터 유출 위험

CIO Korea

2021년 10월 8일 오전 12:58

댓글 0

함께 보면 더 좋은

< 레고와 같이 재구성 가능한 인공지능 칩 개발!...새로운 센서나 프로세서를 추가하거나 쌓는다 > 휴대전화, 스마트워치 및 웨어러블 기기 등이 새로운 모델을 위해 사용이 중단되거나 폐기될 필요가 없는 보다 지속 가능한 장치들이 탄생할 것으로 예상된다. 레고(LEGO) 브릭(Brick)과 같이 장치의 내부 칩에 최신 센서 및 프로세서로 업그레이드할 수 있게 된 것이다. 이러한 재구성 가능한 칩웨어는 전자 폐기물을 줄이면서 장치를 최신 상태로 유지할 수 있다. 美 매사추세츠 공과대학교(MIT) 전자연구소(Research Laboratory of Electronics)의 김지환 MIT 기계공학부 교수를 비롯한 강지훈, 김현석, 송민규, 최찬열 박사후 연구원 등 총 26명이 참여한 공동연구팀이 쌓을 수 있고 재구성 가능한 인공지능(AI) 칩을 위해 마치 레고와 같은 디자인으로 모듈식 비전을 향한 첫 발을 내디뎠다. 이 디자인은 칩 레이어가 광학적으로 통신할 수 있도록 하는 발광 다이오드(LED)와 함께 감지 및 처리 요소의 교대 레이어로 구성된다. 기존 모듈식 칩 설계는 기존 배선을 사용하여 레이어 간에 신호를 전달한다. 이러한 복잡한 연결은 절단 및 재배선이 불가능하지는 않더라도 어렵기 때문에 스택 가능한 설계를 재구성할 수 없다. 연구팀은 설계에서 물리적 와이어가 아닌 빛을 사용하여 칩을 통해 정보를 전송한다. 따라서 칩은 새로운 센서나 업데이트된 프로세서를 추가하기 위해 교체하거나 쌓을 수 있는 레이어로 재구성될 수 있는 것이다. 강지훈 MIT 박사후 연구원은 “빛, 압력, 냄새 등 원하는 만큼 컴퓨팅 레이어와 센서를 추가할 수 있습니다”라며, “레이어 조합에 따라 무한한 확장성을 갖기 때문에 이것을 레고와 같은 재구성 가능한 AI 칩이라고 부릅니다”라고 설명했다. 특히, 연구팀은 슈퍼컴퓨터나 클라우드 기반 컴퓨팅과 같은 중앙 또는 분산 리소스와 독립적으로 작동하는 자급식 센서 및 기타 전자 장치인 엣지 컴퓨팅 디바이스에 이 설계를 적용하기를 기대한다고 밝혔다. 세부 내용은 하기 링크 참고 플리즈~ 출처 : 인공지능신문(http://www.aitimes.kr)

레고와 같이 재구성 가능한 인공지능 칩 개발!...새로운 센서나 프로세서를 추가하거나 쌓는다

인공지능신문

추천 프로필

현직자에게 업계 주요 소식을 받아보세요.

현직자들의 '진짜 인사이트'가 담긴 업계 주요 소식을 받아보세요.

커리어리 | 일잘러들의 커리어 SNS