노출된 ‘시크릿’, 클라우드 보안 위협으로…잘못된 설정 재점검해야

[아이티데일리] 전 세계 기업들이 클라우드 전환을 가속화하는 가운데, 얼핏 사소해 보이는 클라우드 오설정(misconfiguration)이 치명적인 보안 구멍으로 이어질 수 있다는 경고가 나왔다. 특히 공개된 클라우드 저장소를 통해 민감한 데이터를 방치하듯 공개하고 있는 경우가 적지 않아 주의가 필요하다는 지적이다.

최근 테너블(Tenable)이 발표한 ‘2025 클라우드 보안 위험 보고서’에 따르면, 공개적으로 접근 가능한 퍼블릭 클라우드 저장소의 9%에 민감 데이터가 저장돼 있는 것으로 확인됐다. 특히 이 9% 저장소에서 발견된 민감 데이터 중 97%가 ‘제한(restricted)’ 또는 ‘기밀(confidential)’ 등급으로 분류되는 것으로 파악돼 문제가 심각하다. 민감 데이터들은 잘못된 클라우드 설정이나 코딩 시 부주의로 인해 외부로 노출되면 심각한 보안 위협을 불러일으킬 수 있다.

실제 테너블은 이번 조사에서 AWS ECS(Elastic Container Service)에서 태스크 정의 시 시크릿(secret)을 최소 1개 이상 직접 저장하는, 즉 외부 저장소에서 가져오지 않고 하드코딩하는 기업의 비율이 약 54%에 달한다는 점을 언급했다.

시크릿은 시스템이나 애플리케이션이 민감한 자원에 접근·인증하기 위해 사용하는 디지털 자격 증명을 말한다. API 키, 비밀번호, 토큰, SSH 키, 암호화 키, 인증서 등을 포함한다. 태스크 정의가 유출되면 공격자가 시크릿에 접근할 수 있는 직접적 경로가 만들어진다는 점에서 시크릿의 직접 저장은 위험하다.

AWS 뿐만 아니라 구글 클라우드 런(GCP Cloud Run)을 이용하는 기업의 52%, 마이크로소프트 애저 로직 앱스(Microsoft Azure Logic Apps) 워크플로우를 이용하는 기업의 31%도 시크릿을 노출시키는 것으로 조사됐다.

더욱 심각한 것은 전체 AWS EC2 인스턴스 중 3.5%가 부팅 시 단 한 번 실행되는 스크립트인 ‘사용자 데이터(user data)’에 시크릿을 평문으로 포함한 채 운용 중인 것으로 확인됐다는 점이다. 사용자 데이터는 인스턴스 수명 전체에 걸쳐 평문으로 보관·조회 가능하기 때문에, 여기에 시크릿이 포함되면 공격자가 단 한 번만 침입해도 기업의 주요 핵심 자산을 탈취할 수 있다.

클라우드 워크로드 보안은 초창기와는 달리 최근 다소 개선되는 추세긴 하다. 하지만 여전히 △공개적인 노출(publicly exposed) △치명적 취약점(critically vulnerable) △과도 권한(highly privileged) 등 3가지 문제점을 동시에 안고 있는 기업들이 29%에 이르는 것으로 조사됐다. 이 수치는 다행히 지난해 38%에서 9%p가 줄어든 결과지만, 여전히 3분의 1에 가까운 기업이 여전히 복합적인 취약점 속에서 방치돼 있다는 것을 의미한다.

아이덴티티 관련 위협도 여전히 문제로 꼽힌다. 조사에 따르면 아이덴티티 플랫폼(IdP)을 활용하는 AWS 이용 조직은 83%에 달하지만 과도한 기본 권한 설정, 상시 권한(standing permissions) 제공 등은 여전히 문제로 지적됐다. 

테너블의 클라우드 보안 연구 총괄인 아리 에이탄(Ari Eitan) 이사는 “공격자는 3가지 공개 접근점, 숨겨진 비밀, 과도 권한만 파고들면 된다”며 “클라우드는 사후 대응이 아닌 사전 자동화된 노출 관리가 필수”라고 강조했다.

한 국내 클라우드 보안 업체 관계자는 “클라우드 보안은 설정 실수 단 하나가 전체를 위태롭게 할 수 있다”면서 “API 키·자격 증명·암호 등을 안전하게 관리하기 위한 통합 클라우드 노출 관리(Unified Cloud Exposure Management) 솔루션의 도입과 주기적 구성 점검을 권장한다. 기업은 ▲클라우드 저장소에 대한 접근 통제를 강화하는 ‘AWS 시크릿 매니저(Secrets Manager)’ 등을 활용하고 ▲워크로드 공개 여부를 상시 모니터링하며 ▲자동화된 취약점·설정 감사 도구 도입 등으로 위험을 최소화해야 한다”고 조언했다.