Google Cloud가 오픈 소스 자격 증명을 대규모로 보호하는 방법

해당 블로그의 원문은 2025년 6월 17일 Google Cloud 블로그(영문)에 게재되었습니다. 

개발자는 중요한 자격 증명을 실수로 소스 코드, 소프트웨어 패키지, Docker 이미지와 같은 아티팩트에 포함할 수 있습니다. 이러한 정보가 외부에 노출되면 공격자는 이를 악용해 데이터 탈취, 암호화폐 채굴, 랜섬웨어 공격 등을 시도할 수 있습니다. Mandiant Consulting의 부사장 Jurgen Kutscher는 "M-Trends 2025 보고서에 따르면, 탈취된 자격 증명은 이제 두 번째로 높은 초기 침투 벡터이며, 전체 조사 건의 16%를 차지한다"고 언급하며 그 심각성을 강조했습니다.

자격 증명을 안전하게 관리하는 것은 매우 중요한 과제입니다. 개발자는 실수로 소스 코드, 빌드된 소프트웨어 패키지 또는 Docker 이미지와 같은 아티팩트에 자격 증명을 포함시킬 수 있습니다. 이러한 자격 증명이 악의적인 행위자의 손에 들어가면 데이터 유출, 크립토재킹, 랜섬웨어 공격, 그리고 일반적인 리소스 남용에 사용될 수 있습니다.

오픈소스 개발자에게 자격 증명 보호는 특히 중요한데, 자격 증명이 실수로 GitHub, PyPI, DockerHub와 같은 공개 저장소에 푸시된 아티팩트에 포함되면 인터넷상의 누구에게나 접근 가능해지기 때문입니다.

이러한 중요한 문제를 해결하기 위해, Google은 오픈소스 아티팩트를 게시하는 Google Cloud 고객을 보호하기 위해 유출된 Google Cloud 자격 증명을 기본적으로 스캔하는 강력한 도구를 개발했습니다. Google의 deps.dev 팀이 Google Cloud의 자격 증명 보호팀과 협력하여 만든 이 도구는 과거 아티팩트에서 API 키, 서비스 계정 키, OAuth 클라이언트 시크릿과 같은 노출된 자격 증명을 식별하고 보고하는 데 상당한 성과를 보였습니다.

이러한 노력은 초기에는 Google Cloud 자격 증명에 초점을 맞췄지만, 올해 후반에는 서드파티 자격 증명까지 스캔을 확장할 계획입니다.

소급 보고를 넘어, 이 도구는 새로 게시된 오픈소스 아티팩트에서도 유출된 자격 증명을 스캔합니다. 이러한 중대한 발전은 즉각적인 보안 침해 위협에 대한 해결책을 마련하는 데 도움이 되어, 개발자 침해 위험을 크게 줄일 수 있습니다.

노출된 클라우드 자격 증명의 리스크

노출된 자격 증명은 개인에게 사용자의 클라우드 환경, 즉 리소스, 애플리케이션 및 관리되는 사용자 데이터에 대한 접근 권한을 부여하므로 클라우드 사용자에게 심각한 보안 위험을 초래합니다. 악의적인 행위자는 이 접근 권한을 데이터 절도, 크립토재킹, 랜섬웨어 공격, 그리고 전반적인 리소스 남용과 같은 악의적인 목적으로 악용할 수 있으며, 이는 심각한 재정적, 평판적, 운영적 피해를 초래할 수 있습니다.

한번 악의적인 행위자에게 탈취된 자격 증명은 쉽게 복사 및 공유되므로 영구적으로 침해된 것으로 간주해야 합니다.

오픈소스 개발자들은 협업 생태계에 기여하는 동시에, 민감한 자격 증명을 부주의하게 노출할 위험에 직면합니다. GitHub 및 GitLab과 같은 소스 코드 저장소 호스트는 이미 공개 소스 코드(그리고 일부 경우에는 패키지 저장소)에서 노출된 자격 증명을 스캔하지만, 이러한 문제는 소스 코드를 훨씬 넘어섭니다.

빌드된 패키지와 Docker 이미지에는 종종 구성 파일, 컴파일된 바이너리 및 빌드 스크립트가 포함되며, 이들 모두는 유출된 자격 증명의 잠재적 출처가 될 수 있습니다. 이러한 아티팩트를 Maven Central, PyPI 또는 DockerHub와 같은 오픈소스 저장소에 게시하면, 유출된 자격 증명이 인터넷상의 누구에게나 악용될 수 있도록 노출됩니다. 오픈소스 아티팩트가 공유되고 배포되는 용이성과 속도는 잠재적 피해를 확대하므로, 강력한 자격 증명 관리와 사전 예방적인 유출 탐지 및 해결이 매우 중요합니다.

오픈소스 코드에서 자격 증명을 스캔하는 방법

deps.dev 팀은 개발자가 오픈소스 소프트웨어의 구조, 구성, 보안을 더 잘 이해할 수 있도록 돕는 서비스를 제공합니다. 이 팀은 소스 코드 저장소, 소프트웨어 패키지, Docker 컨테이너 등 수억 개의 오픈소스 소프트웨어 아티팩트에 걸쳐 50억 개 이상의 고유 파일로 구성된 코퍼스를 지속적으로 업데이트하고 분석합니다.

아티팩트가 수집되면 포괄적인 분해 프로세스를 거쳐 모든 구성 요소가 추출됩니다. 여기에는 Git 저장소의 모든 커밋에 있는 모든 파일, 소프트웨어 패키지 내의 압축 해제된 모든 파일, 그리고 Docker 이미지의 개별 레이어에 있는 모든 파일이 포함됩니다. 최종 이미지 파일 시스템에 있는 파일뿐만 아니라 모든 파일을 추출하는 것입니다. 이 파일들은 유출된 Google Cloud 자격 증명이 있는지 스캔하는 분석 과정을 거칩니다.

의심스러운 Google Cloud 자격 증명이 탐지되면, 자격 증명 보고 백엔드는 즉시 자격 증명 보호 프로그램에 경고를 보냅니다. 시스템이 만들어진 이후, 저희는 이 시스템이 자격 증명이 게시된 지 몇 분 내에 유출 사실을 탐지하고 해결하는 것을 확인했으며, 이는 악의적인 행위자가 이를 악용하는 데 걸리는 속도와 같거나 더 빠릅니다.

자격증명 격리 및 복구

저희는 검증된 Google Cloud 사용자와 보안 연구원이 의심되는 노출된 자격 증명을 검토 요청할 수 있는 웹 엔드포인트를 설정했습니다. 제출자의 신원이 확인되면, Google Cloud 자격 증명 보호 시스템은 보고된 자격 증명의 유효성을 확인합니다. 자격 증명이 활성화된 것으로 확인되면, Google Cloud는 이메일, 원격 측정 로그, 제품 내 경고 등 다양한 채널을 통해 고객에게 즉시 통지합니다.

Google Cloud는 고객이 설정한 정책에 따라 영향을 받는 서비스 계정 키를 비활성화하는 등 잠재적 피해를 완화하기 위한 자동화된 해결 조치를 취할 수 있습니다.

다음 계획

저희는 자격 증명 노출에 대한 사전 예방적 접근 방식을 통해 오픈소스 커뮤니티의 보안을 강화하고 Google Cloud 고객을 보호하기 위해 적극적으로 노력하고 있습니다. 이 분야의 노력은 다음의 몇 가지 핵심 이니셔티브를 포함합니다.

• 자격 증명 스캔 범위 확대: 도구가 스캔할 수 있는 자격 증명 유형의 범위를 확장하여 더 많은 조직과 개발자를 보호하는 데 도움을 줄 수 있습니다.

• 오픈소스 적용 범위 확대: 더 많은 오픈소스 플랫폼과 저장소를 스캔하여 노출된 자격 증명을 발견하고, 생태계 전반의 위험을 완화하는 데 도움을 줄 수 있습니다.

• 사전 예방 조치를 통한 오픈소스 커뮤니티 역량 강화: 오픈소스 커뮤니티가 자격 증명 노출 검사를 게시 워크플로우에 직접 통합할 수 있는 도구를 개발하고 제공하여, 자격 증명 유출이 발생하기 전에 방지하는 데 도움을 줄 수 있습니다.