출처
Over 12 million auth secrets and keys leaked on GitHub in 2023
GitHub users accidentally exposed 12.8 million authentication and sensitive secrets in over 3 million public repositories during 2023, with the vast majority remaining valid after five days.
www.bleepingcomputer.com
본문 내용
2023년 한 해 동안 3백만 개가 넘는 공개 레포지토리에서 1,280만 건의 인증 및 민감한 비밀이 실수로 노출되었으며, 대부분은 5일 후에도 유효했다. GitGuardian의 사이버 보안 전문가에 따르면, 비밀을 노출한 사용자에게 180만 건의 무료 이메일 알림을 발송한 결과, 연락을 받은 사용자 중 1.8%만이 오류를 수정하기 위해 빠른 조치를 취한 것으로 나타냈다.
노출된 비밀에는 계정 비밀번호, API 키, TLS/SSL 인증서, 암호화 키, 클라우드 서비스 자격증명, OAuth 토큰 및 기타 민감한 데이터가 포함되며, 외부 공격자가 다양한 비공개 리소스 및 서비스에 무제한으로 액세스 할 수 있어 데이터 유출 및 금전적 피해로 이어질 수 있다. 2023년 Sophos 보고서에 따르면 올해 상반기에 기록된 모든 공격의 근본 원인 중 50%는 유출된 인증정보가 차지했으며, 취약점 악용이 23%의 공격 방법이었다고 강조했다. GitGuardian은 세계에서 가장 인기 있는 코드 호스팅 및 협업 플랫폼인 GitHub의 비밀 노출이 2020년 이후 부정적인 추세를 보이고 있다고 밝혔다.
2023년에 기밀이 가장 많이 유출된 국가는 인도, 미국, 브라질, 중국, 프랑스, 캐나다, 베트남, 인도네시아, 한국, 독일 이였다. 가장 많은 기밀이 유출된 분야는 IT가 65.9%로 1위를 차지했고, 교육이 20.1%로 그 뒤를 이었으며, 기타 모든 분야(과학, 소매, 제조, 금융, 공공 행정, 의료, 엔터테인먼트, 교통)를 합쳐 14%를 차지했다. 2023년에 탐지한 전체 비밀의 약 45%를 탐지한 GitGuardian의 일반 탐지기는 다음과 같이 분석된다.
소프트 유출된 기밀을 식별하고 보다 실질적인 범주로 분류할 수 있는 특정 탐지기는 Google API 및 Google Cloud 키, MongoDB 자격증명, OpenWeatherMap 및 Telegram 봇 토큰, MySQL 및 PostgreSQL 자격증명, GitHub OAuth 키의 대규모 노출을 나타낸다.
노출된 비밀의 2.6%는 첫 1시간 이내에 취소되지만, 무려 91.6%는 GitGuardian이 모니터링을 중단한 5일 후에도 유효한 상태로 유지된다. 잘못된 커밋을 감지하고, 상황을 해결하는 데 가장 적합한 대응 메커니즘을 갖춘 곳은 라이엇 게임즈, GitHub, OpenAPI, AWS 인 것으로 나타났다.
AI 트렌드
생성 AI 도구는 2023년에도 폭발적인 성장을 이어갔으며, 이는 지난해 GitHub에 노출된 관련 기밀의 수에도 반영되었다. GitGuardian은 2022년에 비해 깃허브에서 유출된 OpenAI API 키의 수가 1,212배 증가하여 월 평균 46,441개의 API 키가 유출되어 이번 보고서에서 가장 높은 증가율을 기록했다.
OpenAI는 기술 커뮤니티를 넘어 광범위하게 사용되는 ChatGPT 및 DALL-E와 같은 제품으로 잘 알려져 있다. 많은 기업과 직원들이 ChatGPT 프롬프트에 민감한 정보를 입력하는데, 이러한 키의 노출은 매우 위험하다. 오픈 소스 AI 모델 저장소인 HuggingFace는 유출된 비밀이 급격히 증가했으며, 이는 AI 연구자와 개발자 사이에서 인기가 높아진 것과 직접적인 관련이 있다.
Cohere, Claude, Clarifai, Google Bard, Pinecone, Relicate와 같은 다른 AI 서비스도 훨씬 낮은 수준이지만 비밀 유출이 있었다. AI 서비스를 사용하는 사람들은 비밀을 더 잘 보호해야 하지만, GitGuardian은 이러한 기술을 사용하여 비밀을 탐지하고 보호할 수 있다고 말한다. GitGuardian은 대규모 언어 모델(LLM)을 사용하면 오탐을 줄이면서 유출된 비밀을 빠르게 분류하는 데, 도움이 될 수 있다고 말한다. 그러나 방대한 운영 규모, 비용 및 시간 고려 사항, 식별 효율성은 적어도 현재로서는 이러한 노력을 계속 어렵게하는 제한 요소이다. 지난달, GitHub는 플랫폼에 새 코드를 푸시할 때, 실수로 비밀이 노출되는 것을 방지하기 위해 기본적으로 푸시 보호 기능을 활성화했다.
