[인터넷보호나라 KrCERT 보안공지] 개발 운영 환경의 자격증명 노출에 따른 침해사고 예방 강화 요청
2026년 07월 16일
□ 개요
○ 클라우드 서비스와 소프트웨어 개발 협업 환경이 확대되면서 접근키(Access Key), 인증토큰, API 키 등 자격증명이 소스코드 저장소·협업도구에 노출되거나 개발자 단말에서 탈취되어 주요 정보자원시스템 침해로 이어지는 사고가 발생하고 있어 기업·기관의 각별한 주의 필요
○ 클라우드 환경에서는 자격증명 하나만으로도 내부 서버, 데이터베이스, 클라우드 관리 콘솔, 코드저장소, 지속적통합/지속적배포(CI/CD, Continuous Integration/Continuous Delivery) 파이프라인 등 핵심 자산에 접근할 수 있어, 소스코드 유출과 공급망 오염 등 2차 피해로 확대될 위험 존재
* 자격증명(Credential) : 시스템·서비스 접근 권한을 증명하는 정보로 접근키·비밀번호·API 키·인증토큰·시크릿 키·인증서 등이 해당
* 주요 정보자원시스템 : 내부 서버, 데이터베이스, 클라우드 관리 콘솔, 코드저장소, 빌드· 배포 시스템 등 업무 핵심 시스템
□ 주요 내용
○ (노출·탈취 경로) 클라우드 서비스 또는 깃허브(GitHub) 등 개발협업 도구에 저장된 소스코드 내 자격증명 직접 기재(하드코딩), 환경설정 파일·인증서의 코드저장소 업로드, 협업도구(메신저·이슈관리·문서도구)를 통한 공유, 개발자 단말·개발도구(IDE) 확장 프로그램 감염
○ (1차 피해) 노출된 자격증명을 이용한 주요 정보자원시스템 무단 접근·장악 및 소스코드·설계정보·내부 문서 등 기업 핵심 자산 유출
○ (2차 피해) 유출된 소스코드와 잔존 자격증명을 기반으로 내부 구조 파악 및 추가 취약점 발굴, 횡적 이동 및 연계 시스템 확대 침해, 공급망 공격을 통한 고객·이용자 대상 침해 등이 연쇄적으로 확대
○ (유의사항) 실수로 자격증명을 코드저장소에 업로드한 경우 작업 공간에서 파일을 삭제하더라도 형상관리 이력(커밋 히스토리)에 정보가 남을 수 있으므로, 파일 삭제만으로는 조치가 완료되지 않으며 반드시 해당 자격증명 폐기·교체 필요
□ 예방 방안
○ 자격증명의 저장·노출 방지- 소스코드에 접근키·비밀번호·API 키 등 자격증명을 하드코딩하지 않고, 비밀정보 관리 솔루션 또는 보안 저장소에서 관리하여 실행 시점에 주입- 코드저장소 제외 설정(깃허브의 경우 .gitignore)을 통해 인증서·환경설정 파일(.env) 등이 업로드되지 않도록 조치- 기밀정보 자동 탐지 도구를 활용해 업로드 전 노출 여부 점검. 공개 저장소는 시크릿 스캐닝·푸시 차단 기능이 기본 제공되나 비공개·내부 저장소는 별도 적용이 필요하므로 조직 전체 저장소에 탐지 정책이 적용되었는지 확인- 협업도구(메신저·이슈·문서)에 자격증명을 공유하지 않도록 내부 규정 수립 및 기존 공유 이력 점검
○ 임시 자격증명 및 최소권한 적용- 장기 자격증명 대신 일정 시간 후 자동 만료되는 임시 자격증명 사용(IAM Role 기반 접근통제 등)- 데이터베이스, 클라우드 관리 콘솔, 코드저장소, 배포 시스템 등 주요 시스템에 다중인증(MFA, Multi-Factor Authentication) 적용- 최소권한 원칙에 따라 권한을 부여하고, 관리자급 권한이 부여된 상시 접근키 사용 지양- 저장소 접근권한을 조직 전체 공개에서 업무 필요 범위로 축소하고, CI/CD 토큰의 권한 범위·유효기간 최소화
○ 접근통제 및 사용내역 모니터링 강화- 자격증명 사용이 가능한 IP주소·네트워크 구간을 제한하여 외부 무단 사용 방지- 자격증명 사용 내역을 정기 점검하고, 불필요하거나 장기 미사용 접근권한은 즉시 회수- 클라우드 감사로그를 상시 수집·보관하고, 비정상 API 호출(권한 열거, 신규 사용자·역할 생성, 정책 변경, 대규모 인스턴스 생성 등)에 대한 탐지·알림 정책 설정
○ 개발환경 및 인적 보안- 개발도구(IDE) 확장 프로그램, 오픈소스 패키지는 배포처·게시자를 확인하고 버전 고정 및 무결성 검증 후 도입- 개발자 계정(코드저장소, 패키지 저장소, 협업도구)에 다중인증 적용, 개발자 단말에 대한 악성코드 탐지·대응 체계(EDR 등) 운영- 코드 리뷰 시 하드코딩된 자격증명 포함 여부를 확인하고, 개발자 대상 정기 보안 교육 실시
□ 침해사고 신고
○ ‘KISA 인터넷 보호나라&KrCERT’ 홈페이지(www.boho.or.kr) → 상담및신고 → 해킹 사고 신고
□ 기타 문의사항
○ 한국인터넷진흥원 118 (국번없이 118)
□ 작성 : 위협분석단 AI종합분석팀
<구체적인 내용이나 첨부파일은 아래 [인터넷보호나라 KrCERT 보안공지] 사이트의 글에서 확인하시기 바랍니다.>