아쿠아시큐리티는 보안리서치팀인 아쿠아노틸러스가 전세계 기업에서 2억5000만개의 아티팩트와 6만5600개의 컨테이너 이미지를 발견했다고 밝혔다. 이는 잘못 구성된 컨테이너 이미지와 레드햇 키 레지스트리, 제이프로그 아티팩토리 등을 통해 노출된 것이다.

노출된 취약점은 사이버 범죄자가 악용해 중요 기밀 유출, 소프트웨어(SW) 공급망 공격 등에 악용될 수 있다. 즉, 전세계 다수의 기업들이 사이버공격으로 치명적인 피해를 받을 수 있다는 뜻이다.

4일 아쿠아노틸러스에 따르면, 전세계 수천여 기업에서 이러한 취약점을 찾을 수 있었는데, 포춘 500대 그룹에 속하는 5개 기업을 포함해 대형 사이버보안 업체 2곳에서도 취약점이 발견됐다. 

아사프 모락 아쿠아노틸러스 수석연구원은 “연구를 시작했을 때 목적은 레지스트리 구성 오류와 관련 기업을 찾고 숙련된 공격자가 어떻게 구성 오류가 노출된 레지스트리를 악용할지 파악하는 것이었지만, 분석 결과는 크게 우려스러웠다”며 “발견한 리스크의 심각성을 고려해 해당 기업에 알리기로 했다”고 말했다.

연구에서 아쿠아노틸러스는 1,400개의 개별 호스트에서 기밀, 크리덴셜, 토큰 등 민감한 키를 발견했고 156개 호스트에서는 몽고DB, 포스트레SQL, MySQL 등 엔드포인트의 민감한 주소 정보를 찾아냈다.

중대 구성 오류가 있는 57개 레지스트리를 찾았는데, 이 중 15개는 디폴트 패스워드로 관리자 액세스를 허용하고 있어 사이버공격에 취약점을 보였으며, 공격자가 악성 코드로 레지스트리를 감염시키거나 익명으로 액세스해 민감한 정보 습득을 허용할 수 있는 업로드가 가능한 아티팩트 레지스트리 2,100개도 발견했다. 

아쿠아노틸러스는 많은 기업이 책임 있는 보안 공시 프로그램을 갖추고 있지 않다는 사실을 확인하고 개선을 권고했다.

아쿠아노틸러스의 연구에 따르면, 보안공시 프로그램은 보안 연구원이 잠재적 취약점을 체계적 방식으로 보고해서 기업이 악의적 행위자에게 침해당하기 전에 이슈를 신속히 해결할 수 있는 중요한 수단으로, 책임 있는 공시 프로그램을 확립하고 있는 기업의 경우 구성 오류를 1주일 이내에 해결하는 반면, 그렇지 못한 기업은 더 오랜 시간을 소요했다.

케이티 노튼 IDC 수석리서치애널리스트는 “연구결과는 개발자와 애플리케이션 보안팀이 소프트웨어 공급망 보안 관련 베스트 프랙티스에 대한 인식을 제고할 필요가 있음을 보여준다”고 말했다. 

아사프 모락 아쿠아노틸러스 수석위협연구원도 “앞으로 보안팀은 책임 있는 보안 공시 프로그램을 확립하고 소프트웨어 공급망의 위협을 탐지·경감하는데 더 많이 투자해야 한다”고 권고했다.

아쿠아시큐리티는 이번 연구결과를 토대로 ▲레지스트리·아티팩트 관리 시스템의 인터넷 노출 여부 확인 ▲디폴트 패스워드 사용 여부 확인 및 정기적 변경 ▲익명 접근 비활성화 또는 권한 최소화 ▲정기적인 리포지토리 퍼블릭 아티팩트 스캔으로 민감·기밀정보 제거 등을 권고했다.