개인정보위, 클라우드·개발 협업도구 사용시 자격증명 관리 강화 당부

클라우드 기반 서비스와 소프트웨어 개발 협업 환경이 빠르게 확산되면서 접근키(Access Key), 인증토큰, API 키 같은 자격증명 정보의 중요성이 커지고 있습니다. 개인정보보호위원회(개인정보위)는 최근 국내외에서 개발 협업도구와 클라우드 환경에 저장된 자격증명이 외부에 노출되거나 탈취되어 개인정보 유출 사고가 잇따르고 있다며 사업자들의 각별한 주의를 당부했습니다.

자격증명은 시스템이나 데이터베이스에 접근할 수 있는 일종의 '디지털 열쇠'와 같습니다. 개발 과정에서 편의를 위해 소스코드 안에 이런 정보를 하드코딩하거나 협업도구에 저장하면, 공격자가 이를 악용해 개인정보처리시스템에 무단 접근할 수 있습니다. 실제로 깃허브(GitHub) 같은 소프트웨어 코드 공유·관리 플랫폼에 저장된 소스코드에서 클라우드 접근키나 API 키가 노출되는 사례가 확인되고 있습니다.

개인정보위가 공개한 사례들을 보면 사태의 심각성을 알 수 있습니다. A사는 스피어피싱 메일로 깃허브 계정 접근권한을 빼앗긴 뒤, AWS 접근키를 획득해 내부 데이터베이스에 저장된 개인정보 약 240만 건을 열람당했습니다. B사는 깃허브에 평문(암호화되지 않은 상태)으로 저장된 데이터베이스 접속정보가 노출돼 개인정보 약 42만 건을, C사는 같은 경로로 AWS 접근키가 유출돼 무려 1천만 건의 개인정보가 유출됐습니다. D사 역시 소스코드에 하드코딩된 시스템 접근 자격증명(시크릿 키)이 노출되면서 개인정보 유출 사고를 겪었습니다.

이에 개인정보위는 클라우드 환경이나 개발 협업도구를 사용하는 사업자에게 몇 가지 구체적인 보호조치를 권고했습니다. 먼저 소스코드에 접근키, 비밀번호, API 키 등 자격증명이 저장되거나 노출되지 않도록 설정과 관리를 철저히 해야 합니다. 장기간 유효한 자격증명 대신 일정 시간이 지나면 자동으로 만료되는 임시 자격증명을 사용하는 것이 좋습니다. 예를 들어 AWS IAM Role 기반 접근통제 체계는 일정 시간 동안만 유효한 임시 자격증명을 발급해 운영할 수 있습니다.

또한 자격증명을 사용할 수 있는 IP주소나 네트워크 구간을 제한해 외부에서 무단으로 사용하지 못하도록 해야 합니다. 데이터베이스나 클라우드 관리 콘솔 같은 주요 시스템에는 다중 인증(MFA, Multi Factor Authentication)을 적용하고, 필요한 최소한의 권한만 부여하는 '최소권한 원칙'을 지켜야 합니다. 자격증명 사용 내역을 정기적으로 점검하고, 불필요하거나 장기간 사용되지 않은 접근권한은 즉시 회수하는 것도 중요합니다.

사업자가 현장에서 바로 적용할 수 있는 구체적인 예시도 제시됐습니다. 협업도구에서 자격증명 파일이나 인증서 파일이 관리되지 않도록 제외 설정을 해야 합니다. 깃허브의 경우 .gitignore 파일에 인증서나 환경설정 파일(.env) 등을 등록하면 코드저장소 업로드 대상에서 자동으로 제외됩니다. 또 기밀정보 자동 탐지 도구(깃허브의 'Secret Scanning', 'Push Protection' 등)를 활용해 코드저장소에 업로드하기 전에 자격증명 노출 여부를 미리 점검할 수 있습니다.

소프트웨어 엔지니어를 대상으로 정기적인 보안 교육을 실시하고, 코드 리뷰(동료 엔지니어가 안전성 관점에서 상호 검토하는 과정)에서 하드코딩된 비밀번호나 접근키 등이 포함되지 않았는지 반드시 확인해야 합니다. 만약 자격증명 노출이 확인되면 해당 자격증명을 즉시 폐기하고 새로운 자격증명으로 교체하는 등 신속하게 대응해야 합니다.

양청삼 개인정보위 사무처장은 “클라우드 환경에서는 접근키, 데이터베이스 계정, API 키 등 자격증명 하나만으로도 중요 시스템에 접근할 수 있는 만큼, 안전한 계정·권한 관리가 무엇보다 중요하다”고 강조했습니다. 이어 “사업자는 자격증명이 소스코드나 개발 협업도구에 저장되지 않도록 관리하고, 임시 자격증명 사용과 접근통제 강화를 통해 개인정보 유출사고를 예방해야 한다”고 밝혔습니다.

또한 양 처장은 “실수로 자격증명을 코드저장소에 업로드한 경우, 작업 공간에서 삭제하더라도 형상관리 이력에 해당 정보가 남을 수 있다”며 “즉시 해당 자격증명을 폐기하고 새로운 자격증명으로 교체 발급하는 등 신속한 조치를 취하는 것이 바람직하다”고 당부했습니다.



출처: 대한민국 정책브리핑 [원문보기]

⚖️ 본 콘텐츠는 AI가 재구성한 것으로, 저작권은 원 저작자(대한민국 정책브리핑)에게 있습니다. 저작권자 요청 시 즉시 삭제됩니다.