[비즈월드] 클라우드 네이티브 보안 기업 아쿠아 시큐리티는 자사 보안 리서치팀인 아쿠아 노틸러스가 포춘 500대 기업을 포함한 전 세계 기업에서 2억5000만개의 보안 취약점을 발견했다고 3일 밝혔다.

기업의 레지스트리와 아티팩트 관리 시스템은 소프트웨어 공급망의 핵심 요소로, 해커 등 침입자의 주요 표적이 된다. 많은 기업이 의도적으로 자사의 컨테이너 및 아티팩트 레지스트리를 외부에 공개하는데 해당 레지스트리를 통해 유출되는 민감한 정보와 기밀을 인지하거나 제어하지 못하는 경우가 발생한다는 것.

공격자가 액세스를 확보하면 전체 소프트웨어 개발 라이프사이클(SDLC) 툴체인과 여기에 저장된 아티팩트를 악용할 가능성이 있다. 아쿠아의 연구에 따르면 이런 고도의 중요한 환경을 적절히 보호하지 못했거나 또는 민감한 정보가 오픈소스 영역으로 유출된 경우로 해당 환경이 인터넷에 노출되고 공격에 취약해져 심각하고 치명적인 공격으로 이어질 수도 있다.

해당 포춘 500대 기업 중 하나인 IBM은 내부 컨테이너 레지스트리가 인터넷에 노출돼 있었는데 노틸러스가 분석 결과를 공개한 후 신속히 해당 환경의 인터넷 액세스를 차단하고 모든 관련 리스크를 차단할 수 있었다. 그 외 알리바바, 지멘스, 시스코 등도 동일한 상황이 파악됐다.

아쿠아 노틸러스는 많은 기업이 책임 있는 보안 공시 프로그램을 갖추고 있지 않다는 사실을 확인했다. 보안공시 프로그램은 보안 연구원이 잠재적 취약점을 체계적으로 파악해서 기업이 해커로부터 공격 당하기 전에 이슈를 신속히 해결할 수 있는 중요한 수단이다. 아쿠아 노틸러스에 따르면 책임 있는 공시 프로그램을 확립하고 있는 기업의 경우 구성 오류를 일주일 이내에 해결할 수 있었다. 하지만 해당 프로그램이 없는 기업의 경우 보다 어렵고 오랜 과정을 거쳐야 했다.

아사프 모락(Assaf Morag) 아쿠아 노틸러스 수석위협연구원은 “이번 연구 결과는 공격자가 기업의 SDLC를 침해하는 일이 얼마나 쉬운지, 또 단순한 구성 오류를 간과했을 때 심각한 위협이 될 수 있음을 보여준다”며 “앞으로 보안팀은 책임 있는 보안 공시 프로그램을 확립하고 소프트웨어 공급망의 위협을 탐지 및 차단하는데 더 많은 투자가 필요하다”고 강조했다.

[비즈월드=정재훈 기자 / jungjh@bizwnews.com]