> 해커가 깃허브에서 기밀을 찾는 법 해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Nations), 에퀴팩스(Equifax), 코드코브(Code

> 해커가 깃허브에서 기밀을 찾는 법 해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Nations), 에퀴팩스(Equifax), 코드코브(Codecov), 스타벅스(Starbucks), 우버(Uber) 등은 이에 주의가 소홀했던 대가를 치렀다. 오픈소스 코드를 사용하지 않기 때문에 위험하지 않다고 말하는 기업도 있겠지만 실상은 그렇지 않다. 작업 프로젝트에 개인 저장소를 쓰는 개발자가 많기 때문이다. 깃허브의 관련 보고서(State of Secrets Sprawl)에 의하면 데이터 유출의 85%는 개발자의 개인 저장소에서 발생한다. 기업이 소유한 저장소 내에서 발생하는 유출 사건은 15%에 불과하다. 개발자는 셸 명령 기록, 환경 파일, 저작권 있는 콘텐츠 등을 남긴다. 때때로 (개발자는) 프로세스를 간소화하려다가 실수를 한다. 일부 도구는 프로세스를 더 빠르고 효율적으로 만들 수 있다. 휴먼(HUMAN)의 보안 연구원 가브리엘 컬리그는 “공격자는 깃허브 콘텐츠를 스크랩하고, 민감한 정보를 추출하는 자동화 봇을 실행한다”라고 말했다. 이러한 봇은 항상 실행 상태로 둘 수 있다. 해커가 몇 초 또는 몇 분 만에 ‘실수’를 감지할 수 있다는 의미다. 일단 기밀이 발견되면 공격자는 이를 쉽게 악용할 수 있다. 푸리에는 “이를테면 AWS 키를 찾으면 기업의 모든 클라우드 인프라에 액세스할 수 있다”라면서, “특정 회사에서 일하는 개발자를 대상으로 기업 자산의 일부를 살펴보는 건 매우 간단하다. 기밀의 성격에 따라 해커는 공급망 공격을 시작하고 기업 고객의 안전을 위협하는 등의 많은 일을 할 수 있다”라고 전했다. > 기업은 깃허브 유출로부터 어떻게 기밀을 보호할 수 있는가? 기밀 데이터의 양이 증가하고 있기 때문에 기업들은 너무 늦기 전에 이를 제대로 탐지할 필요가 있다. 깃허브에는 암호, SSH 키 또는 API 토큰 같은 텍스트 문자열을 찾는 자체 ‘기밀 스캐닝 파트너 프로그램’이 있다. 깃허브는 40곳 이상의 클라우드 업체와 협력하여 퍼블릭 저장소에 노출된 API 키를 자동으로 수정했다. 깃허브 대변인은 와의 인터뷰에서 “생태계를 보호하기 위해 이러한 파트너십을 지속적으로 확장하고 있다. 현재, 매일 100개 이상의 노출된 깃허브 API 키를 해지하고 있으며, 신규 개발자에게 자격증명 보안의 중요성을 알리고 있다”라고 밝혔다. 그리고, .gitignore 파일에 올바른 설정을 추가를 통해 깃과 깃허브닷컴에 어떤 파일을 추적하여 인터넷에 업로드하지 않아야 하는지 명시할수 있다. 몇몇 보안 스타트업도 이러한 문제를 해결하기 위해 고군분투하고 있다. 이를테면 기티릭스(GittyLeaks), 시크릿옵스(SecretOps), 깃릭스(gitLeaks), 깃가디언(GitGuardian)은 비즈니스 사용자와 개인 사용자 모두에게 몇 가지 추가 보호 계층을 제공하는 것을 목표로 한다. 일부는 유출된 기밀을 몇 초안에 감지해 개발자와 기업이 즉각적인 조치를 취할 수 있도록 한다. 즉, “전체 개발 라이프사이클, 도커 컨테이너, 서로 다른 유형의 데이터를 통틀어 소프트웨어상의 모든 코드를 스캔한다. 이를 통해 기밀을 찾아 이를 철회하려고 한다” 하지만 이상적으로 가장 좋은 전략은 기밀 데이터를 전혀 유출하지 않거나 최대한 적게 누설하는 것이다. 이를 위해서는 해당 문제에 관한 인식을 높이는 게 도움이 된다. 컬리그는 “보안 코드를 작성하고 봇을 사전에 중지하도록 개발자를 교육하는 것이 유출된 기밀 때문에 두더지 잡기 게임을 하는 것보다 낫다”라고 말했다