“IBM, 알리바바 등 주요 기업서 보안취약점 2.5억개 발견”

아쿠아시큐리티, 포춘 500대 기업 위협 확인
책임 있는 보안 공시 프로그램 등에 투자 필요

[헤럴드경제=김현일 기자] 클라우드 네이티브 보안 기업 아쿠아 시큐리티(Aqua Security)가 전세계 기업에서 2억5000만개의 보안 취약점을 발견했다고 3일 밝혔다.

아쿠아 시큐리티는 자사 보안 리서치 팀인 아쿠아 노틸러스(Aqua Nautilus)가 2억5000만개의 보안 취약점과 잘못 구성된 6만5600개의 컨테이너 이미지를 발견했다고 발표했다.

이번 연구팀의 발견에 비춰볼 때 포춘 500대 기업 중 5개 기업과 그 외 수천여 기업이 위험을 안고 있는 것으로 나타났다.

아사프 모락(Assaf Morag) 아쿠아 노틸러스 수석 위협 연구원은 “이번 연구목적은 레지스트리 구성 오류와 관련 기업을 찾고, 숙련된 공격자가 구성 오류가 노출된 레지스트리를 어떻게 악용하는지 파악하는 것이었다”며 “결과가 놀랍기도 했고 우려스러웠다. 우리가 발견한 리스크의 심각성을 고려해 해당 기업에 알리기로 했다”고 말했다.

많은 기업이 의도적으로 자사 컨테이너 및 아티팩트 레지스트리를 외부에 공개하는데 해당 레지스트리를 통해 유출되는 민감한 정보와 기밀을 인지하거나 제어하지 못하는 경우가 발생하곤 한다. 이러한 환경이 노출되면 공격에 취약해져서 심각하고 치명적인 공격으로 이어질 수 있다.

포춘 500대 기업 중 하나인 IBM은 내부 컨테이너 레지스트리가 인터넷에 노출돼 있었다. 노틸러스가 분석 결과를 공개한 후 신속히 해당 환경의 인터넷 액세스를 차단하고 모든 관련 리스크를 경감할 수 있었다. 그 외 알리바바, 지멘스, 시스코 등도 위협이 파악됐다.

노틸러스는 많은 기업이 보안 공시(disclosure) 프로그램을 갖추고 있지 않다는 사실을 확인했다. 보안공시 프로그램은 보안 연구원이 잠재적 취약점을 체계적으로 보고해 기업이 보안 침해를 신속히 해결하는 수단이다. 해당 프로그램이 없는 기업은 오류 해결에 오랜 시간이 걸린다.

아사프 모락 연구원은 “앞으로 보안 팀은 책임 있는 보안 공시 프로그램을 확립하고 소프트웨어 공급망의 위협을 탐지 및 경감하는데 더 많이 투자해야 한다”고 강조했다.

joze@heraldcorp.com