보안공지높음KISA 공식정보
1개요
- 클라우드 서비스와 소프트웨어 개발 협업 환경이 확대되면서 접근키(Access Key), 인증토큰, API 키 등 자격증명이 소스코드 저장소·협업도구에 노출되거나 개발자 단말에서 탈취되어 주요 정보자원시스템 침해로 이어지는 사고가 발생하고 있어 기업·기관의 각별한 주의 필요
- 클라우드 환경에서는 자격증명 하나만으로도 내부 서버, 데이터베이스, 클라우드 관리 콘솔, 코드저장소, 지속적통합/지속적배포(CI/CD, Continuous Integration/Continuous Delivery) 파이프라인 등 핵심 자산에 접근할 수 있어, 소스코드 유출과 공급망 오염 등 2차 피해로 확대될 위험 존재
- * 자격증명(Credential) : 시스템·서비스 접근 권한을 증명하는 정보로 접근키·비밀번호·API 키·인증토큰·시크릿 키·인증서 등이 해당
- * 주요 정보자원시스템 : 내부 서버, 데이터베이스, 클라우드 관리 콘솔, 코드저장소, 빌드· 배포 시스템 등 업무 핵심 시스템
2주요 내용
- (노출·탈취 경로) 클라우드 서비스 또는 깃허브(GitHub) 등 개발협업 도구에 저장된 소스코드 내 자격증명 직접 기재(하드코딩), 환경설정 파일·인증서의 코드저장소 업로드, 협업도구(메신저·이슈관리·문서도구)를 통한 공유, 개발자 단말·개발도구(IDE) 확장 프로그램 감염
- (1차 피해) 노출된 자격증명을 이용한 주요 정보자원시스템 무단 접근·장악 및 소스코드·설계정보·내부 문서 등 기업 핵심 자산 유출
- (2차 피해) 유출된 소스코드와 잔존 자격증명을 기반으로 내부 구조 파악 및 추가 취약점 발굴, 횡적 이동 및 연계 시스템 확대 침해, 공급망 공격을 통한 고객·이용자 대상 침해 등이 연쇄적으로 확대
- (유의사항) 실수로 자격증명을 코드저장소에 업로드한 경우 작업 공간에서 파일을 삭제하더라도 형상관리 이력(커밋 히스토리)에 정보가 남을 수 있으므로, 파일 삭제만으로는 조치가 완료되지 않으며 반드시 해당 자격증명 폐기·교체 필요
3기타 문의사항
- 한국인터넷진흥원 118 (국번없이 118)
4예방 방안
- 자격증명의 저장·노출 방지- 소스코드에 접근키·비밀번호·API 키 등 자격증명을 하드코딩하지 않고, 비밀정보 관리 솔루션 또는 보안 저장소에서 관리하여 실행 시점에 주입- 코드저장소 제외 설정(깃허브의 경우 .gitignore)을 통해 인증서·환경설정 파일(.env) 등이 업로드되지 않도록 조치- 기밀정보 자동 탐지 도구를 활용해 업로드 전 노출 여부 점검. 공개 저장소는 시크릿 스캐닝·푸시 차단 기능이 기본 제공되나 비공개·내부 저장소는 별도 적용이 필요하므로 조직 전체 저장소에 탐지 정책이 적용되었는지 확인- 협업도구(메신저·이슈·문서)에 자격증명을 공유하지 않도록 내부 규정 수립 및 기존 공유 이력 점검
- 임시 자격증명 및 최소권한 적용- 장기 자격증명 대신 일정 시간 후 자동 만료되는 임시 자격증명 사용(IAM Role 기반 접근통제 등)- 데이터베이스, 클라우드 관리 콘솔, 코드저장소, 배포 시스템 등 주요 시스템에 다중인증(MFA, Multi-Factor Authentication) 적용- 최소권한 원칙에 따라 권한을 부여하고, 관리자급 권한이 부여된 상시 접근키 사용 지양- 저장소 접근권한을 조직 전체 공개에서 업무 필요 범위로 축소하고, CI/CD 토큰의 권한 범위·유효기간 최소화
- 접근통제 및 사용내역 모니터링 강화- 자격증명 사용이 가능한 IP주소·네트워크 구간을 제한하여 외부 무단 사용 방지- 자격증명 사용 내역을 정기 점검하고, 불필요하거나 장기 미사용 접근권한은 즉시 회수- 클라우드 감사로그를 상시 수집·보관하고, 비정상 API 호출(권한 열거, 신규 사용자·역할 생성, 정책 변경, 대규모 인스턴스 생성 등)에 대한 탐지·알림 정책 설정
- 개발환경 및 인적 보안- 개발도구(IDE) 확장 프로그램, 오픈소스 패키지는 배포처·게시자를 확인하고 버전 고정 및 무결성 검증 후 도입- 개발자 계정(코드저장소, 패키지 저장소, 협업도구)에 다중인증 적용, 개발자 단말에 대한 악성코드 탐지·대응 체계(EDR 등) 운영- 코드 리뷰 시 하드코딩된 자격증명 포함 여부를 확인하고, 개발자 대상 정기 보안 교육 실시
5침해사고 신고
- 'KISA 인터넷 보호나라&KrCERT' 홈페이지( www.boho.or.kr ) → 상담및신고 → 해킹 사고 신고
6참고사이트
KISA 보호나라&KrCERT/CChttps://www.boho.or.kr/정보보호 서비스https://www.boho.or.kr/kr/subPage.do?menuNo=205007서비스 신청하기https://www.boho.or.kr/kr/apply/list.do?menuNo=205003
나머지 참고사이트 27개 보기
침해사고 원인분석 및 대응조치https://www.boho.or.kr/kr/subPage.do?menuNo=205004사이버위협https://www.boho.or.kr/kr/bbs/list.do?menuNo=205024&bbsId=B0000342정보보호 용어https://www.boho.or.kr/kr/bbs/list.do?menuNo=205025&bbsId=B0001020취약점 정보https://www.boho.or.kr/kr/bbs/list.do?menuNo=205023&bbsId=B0000302침해사고 신고https://www.boho.or.kr/kr/subPage.do?menuNo=205033신고하기https://www.boho.or.kr/kr/report/list.do?menuNo=205034보안상담https://www.boho.or.kr/kr/consult/consultForm.do?menuNo=205035알림마당https://www.boho.or.kr/kr/bbs/list.do?menuNo=205020&bbsId=B0000133공지사항https://www.boho.or.kr/kr/bbs/list.do?menuNo=205022&bbsId=B0000132보고서/가이드https://www.boho.or.kr/kr/bbs/list.do?menuNo=205021&bbsId=B0000127카드뉴스https://www.boho.or.kr/kr/bbs/list.do?menuNo=205090&bbsId=B0001030자세히 알아보기https://www.boho.or.kr/kr/bbs/list.do?menuNo=205027&bbsId=B0000030KrCERT/CChttps://www.boho.or.kr/kr/subPage.do?menuNo=205028Vision&Missionhttps://www.boho.or.kr/kr/subPage.do?menuNo=205029Traffic Light Protocolhttps://www.boho.or.kr/kr/subPage.do?menuNo=205065Contacthttps://www.boho.or.kr/kr/subPage.do?menuNo=205030APCERT AGM & Conference 2026https://www.boho.or.kr/kr/subPage.do?menuNo=205122ENGhttps://www.boho.or.kr/en/main.do개인 서비스https://www.boho.or.kr/kr/subPage.do?menuNo=205116이용안내https://www.boho.or.kr/kr/subPage.do?menuNo=205043FAQhttps://www.boho.or.kr/kr/bbs/list.do?menuNo=205056&bbsId=B0000131개인정보처리방침https://www.boho.or.kr/kr/bbs/list.do?menuNo=205071&bbsId=B0001010보호나라 RSS 서비스https://www.boho.or.kr/kr/subPage.do?menuNo=205121홈https://www.boho.or.kr/kr/main.do이전 글
AI 개발도구 위장 악성코드 유포 주의 권고https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=72133다음 글
카드사 사칭 스미싱·피싱 주의 권고https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=72131목록으로https://www.boho.or.kr/kr/bbs/list.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=
KISA 공식 원문 본문과 표를 구조화했습니다. 제품명·버전·조치사항은 KISA 원문을 최종 기준으로 확인하세요.