You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
해커들이 퍼블릭 리포지토리를 대상으로 지속적으로 비밀 정보를 스캐닝해서 민감한 정보에 대해서는 암호화가 필수적일 것 같다고 생각했습니다.
보고서에 따르면, 1000개의 커밋 중 7개, 활성 리포지토리의 4.6%, 기여자의 11.7%가 최소 하나의 비밀(secret)을 유출했습니다. GitGuardian은 그 기간 동안 180만 건의 경고 이메일을 보냈지만, 유출된 비밀의 90%는 유출 후 5일 동안 여전히 활성 상태였고, 이메일 알림 후 1시간 이내에 취소된 비율은 2.6%에 불과했습니다.
GitGuardian의 CEO인 Eric Fourrier는 "개발자들이 유출된 커밋이나 리포지토리를 삭제하는 대신 비밀을 취소하지 않는 것은 회사에 큰 보안 위험을 초래하며, 이러한 '좀비 유출'이 가장 큰 문제"라고 말했습니다.
작년 GitHub에는 5000만 개의 새로운 리포지토리가 추가되었으며, 이는 전년 대비 22% 증가한 수치입니다. 전체 리포지토리 중 300만 개에서 비밀이 유출되었으며, 주로 Google API 키, MongoDB 자격 증명, OpenWeatherMap 토큰, Telegram 봇 토큰, Google Cloud 키 및 AWS IAM 자격 증명이 포함되었습니다. GitGuardian은 OpenAI API 키 유출이 1212배 증가했으며, HuggingFace 사용자 액세스 토큰 유출도 증가했다고 보고했습니다.
이전에 했던 프로젝트도 시크릿 키가 잠시 노출된 적이 있었는데 비정상적인 접근을 보안 로그에서 확인할 수 있을 정도로 설정 정보를 암호화하는 것에 대해서는 재현님도 당연히 아시는 바와 같이 필수적이라고 생각합니다.
허니팟 결과: 노출된 자격 증명을 찾고 공격을 시작하는 데 1분 소요
공격자들이 노출된 AWS 비밀 키를 찾아 악용하는 데 걸린 시간은 단 1분이었습니다. 공격의 속도에 비추어 볼 때, 연구자들은 공격자들이 이러한 공격을 위해 커스텀 또는 수정된 도구와 스크립트를 사용한다고 추정합니다. 대부분의 공격자들은 요청마다 다른 IP 주소를 사용할 수 있는 프록시를 사용합니다.
이는 프로그래머와 개발자들에게 나쁜 소식입니다. 개발자가 GitHub에 코드를 커밋한 후 실수를 빨리 깨닫더라도, 공격자들이 노출된 자격 증명을 손에 넣기 전에 이를 제거할 수 없을 가능성이 높습니다.
기록된 첫 번째 공격에서는 노출된 자격 증명을 악용하여 DescribeInstances 및 GetAccountAuthorizationDetails API 호출을 통해 서버 인프라, 사용자, 권한, 그룹, 역할 및 정책에 대한 정보를 얻었습니다. 전체 공격은 자격 증명이 노출된 순간부터 4분도 채 걸리지 않았습니다.
🔐 암호화 방안
보통은 Jasypt를 통해서 설정 정보를 암호화하고는 했는데, Hashicorp Vault를 통해서 환경 정보를 중앙에서 관리할 수도 있기도 하고, 설정 정보가 적다면 Github Actions 내부에서 actions secrets을 통해서 동적으로 yml 파일을 만들 수도 있을 것 같습니다. 재현님이 선호하시는 방법을 여쭤보고자 이 토론을 열게 되었습니다!
Jasypt를 통해서 암호화하기
Spring Cloud Config, AWS Secrets Manager, Hashicorp Vault 등의 서비스를 통해 설정 정보를 외부에서 관리하기
🔗 의존성코드가 잘 작동하려면 의존성 관리가 필수! 체계적으로 관리해요.🔒 보안안전한 애플리케이션을 위해 보안을 철저히 지켜요.🛠️ 설정환경설정은 작은 디테일이지만 큰 영향을 줘요!
1 participant
Heading
Bold
Italic
Quote
Code
Link
Numbered list
Unordered list
Task list
Attach files
Mention
Reference
Menu
reacted with thumbs up emoji reacted with thumbs down emoji reacted with laugh emoji reacted with hooray emoji reacted with confused emoji reacted with heart emoji reacted with rocket emoji reacted with eyes emoji
-
🔒 암호화의 필요성
해커들이 퍼블릭 리포지토리를 대상으로 지속적으로 비밀 정보를 스캐닝해서 민감한 정보에 대해서는 암호화가 필수적일 것 같다고 생각했습니다.
이전에 했던 프로젝트도 시크릿 키가 잠시 노출된 적이 있었는데 비정상적인 접근을 보안 로그에서 확인할 수 있을 정도로 설정 정보를 암호화하는 것에 대해서는 재현님도 당연히 아시는 바와 같이 필수적이라고 생각합니다.
🔐 암호화 방안
보통은
Jasypt를 통해서 설정 정보를 암호화하고는 했는데,Hashicorp Vault를 통해서 환경 정보를 중앙에서 관리할 수도 있기도 하고, 설정 정보가 적다면 Github Actions 내부에서 actions secrets을 통해서 동적으로 yml 파일을 만들 수도 있을 것 같습니다. 재현님이 선호하시는 방법을 여쭤보고자 이 토론을 열게 되었습니다!Jasypt를 통해서 암호화하기Spring Cloud Config,AWS Secrets Manager,Hashicorp Vault등의 서비스를 통해 설정 정보를 외부에서 관리하기🔗 참고 링크
Beta Was this translation helpful? Give feedback.
All reactions