고객 인터뷰: ENlighten에서 얻은 인사이트

국내 1위 에너지 IT 플랫폼 기업, 엔라이튼(ENligthen)의 여진석 매니저님과 크리밋 도입사례에 대한 인터뷰를 진행하였습니다!엔라이튼에서는 어떻게, Credential, Secret 보안을 하고 있는지 알아보겠습니다.

Credential, Secret, 개인정보 관리, 탐지문제를 겪고 계시다면? 크리밋과 만나보세요!

엔라이튼은 어떤 기업인가요?

More Energy, More Powerful 에너지를 모아 연결 그 이상의 가치를 만드는 회사입니다. 여기저기 분산되어 있는 신재생 에너지들을 IT 기술로 연결하여, 공급과 소비가 자유롭게 이뤄지는 플랫폼 거래를 구현하고 있습니다. 현재 플랫폼을 이용하는 발전사업자에게는 온라인 사업타당성 검토 서비스와 안정적인 자산관리 서비스를 제공하고 있고, 재생에너지 전기를 필요로 하는 기업에게는 RE100 컨설팅과 전력거래 서비스 등을 제공하고 있으며, 네이버 신사옥과 롯데 글로벌로지스에 전력거래계약(제3자 PPA)를 맺었습니다. 엔라이튼에서 서비스중인 발전왕서비스는 전국 2만2000여 개소, 5.4GW 이상의 발전소가 연동되어 있고 시장 점유율이 25% 수준에 이르며, 국내 단일 서비스 기준으로 최대 규모를 자랑하고 있습니다.

분산된 에니저 자원을 IT 기술로, 공급과 소비자가 자유롭게 이뤄지는 플랫폼 거래

엔라이튼은 태양광 통합 비지니스, 에너지 IT 플랫폼, 에너지 거래를 위한 VP 플랫폼 등의 서비스를 운영하고 있습니다. 뛰어난 기술력, 전문성으로 에너지 시장을 혁신하고 있는 국내 1위 에너지 플랫폼 기업입니다. 누적 투자 유치 445억원, 총 서비스 규모 5,344MW급, 가장 많은 발전사업자가 선택한 발전왕 플랫폼을 운영하고 있는 엔라이튼은, 서울대학교, UC Berkely, EY한영 회계법인, 미래에셋, 삼성전자, 타다 등 다양한 배경에서 수 년 간 경험을 쌓아온 팀원들과 함께하고 있습니다.

크리밋 도입 이전, 어떤 문제를 겪고 계셨나요?

📌  공격자들의 Secret 타겟화

공격자는 개발자가 실수로 남긴 ‘기밀’(Secret, Credential)을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색하고 있습니다. 또한 내부 메신저, 협업도구에서  사소한 실수로 노출된 기밀(Secret, Credential)은 공격자에게 충분히 악용될 수 있는 위험입니다.

📌 위협에 마땅한 솔루션이 없는 현실

저희회사인 엔라이튼 뿐만 아니라 주변의 많은 회사들이 리포지토리, 협업도구, 메신저 내의 기밀(Secret, Credential)의 검출 및 관리방안에 대해 특별한 솔루션이 없어 많은 고초를 겪고 있습니다.이런 기밀(Secret, Credential) 관리 문제를 저렴한 비용에 실시간으로 검출 및 알림을 해주는 기능, 한눈에 현황을 확인 할 수 있는 대시보드 기능, 쉬운 연동이 매력적이라서 빠르게 도입을 결정했습니다.

크리밋 기능 중 가장 잘 사용하고 계신 기능은 무엇인가요?

📌 활성화된 Secret 정보를 토대로 빠른 보안성 향상

크리밋의 기본적인 기능 중 하나인 크리덴셜이 노출된 위치의 현황들을 알려주는 Secret Table, Sensitive Table 기능을 제일 자주 활용하고 있습니다. 크리밋에서는 Secret Key가 노출되어있는 현황 뿐 아니라, 해당 Secret Key가 활성화(Active) 되어 있는지를 알려주어 조치 우선순위를 정할 수 있습니다. Active 되어 있는 기밀(Secret, Credential) 값을 파악하고 노출된 위치 정보를 토대로 조치해야되는 개발팀 또는 다른 구성원에게 Ticket을 남기고 개선 요청을 진행하고 있습니다.

특히 크리밋을 도입하고나서 예전에 개발되었지만 유지보수가 되고 있지 않은 개발 소스에서 찾은 민감한 시크릿도 찾아 해당 개발 소스를 정리하고, 개선될 수 있는 정보를 찾을 수 있는 점이 매우 마음에 들었습니다. 또한, 로그인 이후 직관적으로 보이는 대시보드를 통해 현황을 파악할 수 있어 엔라이튼의 보안성을 향상시키는 제 업무에 많은 도움이 되고 있습니다.

📌 PoC 부터 적용까지 일주일 이내

(크리밋) 실제로, 엔라이튼에서는 PoC 이후 3일만에 도입 결정을 내려주셨고 이후에 실제 사용까지는 30분도 걸리지 않는 쉬운 연동으로 Credential 위협을 크리밋을 통해 대응하고 계십니다.

향후 크리밋 활용 계획이 어떻게 되시나요?

엔라이튼 개발자분들이 열심히 개발하고, 구성원분들이 고객에게 제공하는 서비스들을 안전하게 지키고, 더 이상 사용되지 않는 오래된 크리덴셜들을 검출하기 위해 크리밋을 적극적으로 활용할 예정입니다.

사내 교육과 크리덴셜 관리 가이드, 사용하지 않는 서비스 정리를 통해 비용절감등을 지속적으로 진행할 예정입니다. 이 과정에서 크리밋과의 다양한 협업과 연계가 시너지를 일으킬 수 있을거라고 생각합니다.

‍엔라이튼이 주도하는 에너지 거래, 에너지 혁신이 매우 기대됩니다! 에너지 IT 플랫폼 선두 기업의 여정에 있어 보안성을 높일 수 있도록 빈틈없는 파트너로 크리밋도 함께하도록 하겠습니다.‍

엔라이튼이 Credential 보안의 여정에 크리밋을 선택한 이유가 궁금하시다면?

Contact Us!

한국 기업이 주목해야 할 점

고객 사례가 반영된 통제 체계는 국내에서도 ISMS-P 심사 대응과 경영진 설득의 주요 참고점으로 활용된다. 특히 보안 조직 규모가 작은 국내 중견기업은 유사 산업군 사례의 적용 가능성을 중요하게 평가한다.

• 유사 산업군 국내 기업의 ISMS-P 적용 사례 벤치마킹
• 고객 사례 기반 내부 경영진 설득 자료 재구성
• 국내 규제 환경에 맞춘 커스터마이징 포인트 식별

관련 글

• "범위 밖"이라는 면죄부: 버그바운티는 왜 인증정보 노출을 외면하는가
• 만료됐는데 여전히 작동하는 크레덴셜: 좀비 키 문제 (NHI Kill Chain #5)
• 과도한 권한의 API 키: 하나의 크레덴셜이 너무 많은 것을 여는 문제 (NHI Kill Chain #4)

---

Argus로 NHI 보안 자동화

Cremit의 Argus는 공개·비공개 저장소의 노출된 크레덴셜을 상시 탐지하고, 팀별 소유권을 매핑하며, 회전 워크플로우를 자동화합니다. 14일 무료 체험: argus.cremit.io.