크리밋 | 고객 인터뷰: ENlighten에서 얻은 인사이트

고객 사례

Ben Kim

March 4, 2024

4분 읽기

국내 1위 에너지 IT 플랫폼 기업, 엔라이튼(ENligthen)의 여진석 매니저님과 크리밋 도입사례에 대한 인터뷰를 진행하였습니다!
엔라이튼에서는 어떻게, Credential, Secret 보안을 하고 있는지 알아보겠습니다.

Credential, Secret, 개인정보 관리, 탐지문제를 겪고 계시다면? 크리밋과 만나보세요!

벽면 사인: Enlighten 로고와 "More Energy, More Powerful" 태그라인이 흰색 3D 문자로 벽에 부착되어 있습니다.

엔라이튼은 어떤 기업인가요?

More Energy, More Powerful 에너지를 모아 연결 그 이상의 가치를 만드는 회사입니다.
여기저기 분산되어 있는 신재생 에너지들을 IT 기술로 연결하여, 공급과 소비가 자유롭게 이뤄지는 플랫폼 거래를 구현하고 있습니다.
현재 플랫폼을 이용하는 발전사업자에게는 온라인 사업타당성 검토 서비스와 안정적인 자산관리 서비스를 제공하고 있고, 재생에너지 전기를 필요로 하는 기업에게는 RE100 컨설팅과 전력거래 서비스 등을 제공하고 있으며, 네이버 신사옥과 롯데 글로벌로지스에 전력거래계약(제3자 PPA)를 맺었습니다.
엔라이튼에서 서비스중인 발전왕서비스는 전국 2만2000여 개소, 5.4GW 이상의 발전소가 연동되어 있고 시장 점유율이 25% 수준에 이르며, 국내 단일 서비스 기준으로 최대 규모를 자랑하고 있습니다.

분산된 에니저 자원을 IT 기술로, 공급과 소비자가 자유롭게 이뤄지는 플랫폼 거래

엔라이튼은 태양광 통합 비지니스, 에너지 IT 플랫폼, 에너지 거래를 위한 VP 플랫폼 등의 서비스를 운영하고 있습니다. 뛰어난 기술력, 전문성으로 에너지 시장을 혁신하고 있는 국내 1위 에너지 플랫폼 기업입니다. 누적 투자 유치 445억원, 총 서비스 규모 5,344MW급, 가장 많은 발전사업자가 선택한 발전왕 플랫폼을 운영하고 있는 엔라이튼은, 서울대학교, UC Berkely, EY한영 회계법인, 미래에셋, 삼성전자, 타다 등 다양한 배경에서 수 년 간 경험을 쌓아온 팀원들과 함께하고 있습니다.

맑은 하늘을 배경으로 지붕에 설치된 태양광 패널이 있는 현대적인 건물의 모퉁이 보기

크리밋 도입 이전, 어떤 문제를 겪고 계셨나요?

📌 공격자들의 Secret 타겟화

공격자는 개발자가 실수로 남긴 ‘기밀’(Secret, Credential)을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색하고 있습니다. 또한 내부 메신저, 협업도구에서 사소한 실수로 노출된 기밀(Secret, Credential)은 공격자에게 충분히 악용될 수 있는 위험입니다.

📌 위협에 마땅한 솔루션이 없는 현실

저희회사인 엔라이튼 뿐만 아니라 주변의 많은 회사들이 리포지토리, 협업도구, 메신저 내의 기밀(Secret, Credential)의 검출 및 관리방안에 대해 특별한 솔루션이 없어 많은 고초를 겪고 있습니다.이런 기밀(Secret, Credential) 관리 문제를 저렴한 비용에 실시간으로 검출 및 알림을 해주는 기능, 한눈에 현황을 확인 할 수 있는 대시보드 기능, 쉬운 연동이 매력적이라서 빠르게 도입을 결정했습니다.

크리밋 기능 중 가장 잘 사용하고 계신 기능은 무엇인가요?

📌 활성화된 Secret 정보를 토대로 빠른 보안성 향상

크리밋의 기본적인 기능 중 하나인 크리덴셜이 노출된 위치의 현황들을 알려주는 Secret Table, Sensitive Table 기능을 제일 자주 활용하고 있습니다. 크리밋에서는 Secret Key가 노출되어있는 현황 뿐 아니라, 해당 Secret Key가 활성화(Active) 되어 있는지를 알려주어 조치 우선순위를 정할 수 있습니다. Active 되어 있는 기밀(Secret, Credential) 값을 파악하고 노출된 위치 정보를 토대로 조치해야되는 개발팀 또는 다른 구성원에게 Ticket을 남기고 개선 요청을 진행하고 있습니다.

Cremit UI: 감지된 시크릿 결과가 페이징된 목록(15페이지 중 1페이지)을 보여줍니다.

특히 크리밋을 도입하고나서 예전에 개발되었지만 유지보수가 되고 있지 않은 개발 소스에서 찾은 민감한 시크릿도 찾아 해당 개발 소스를 정리하고, 개선될 수 있는 정보를 찾을 수 있는 점이 매우 마음에 들었습니다. 또한, 로그인 이후 직관적으로 보이는 대시보드를 통해 현황을 파악할 수 있어 엔라이튼의 보안성을 향상시키는 제 업무에 많은 도움이 되고 있습니다.

📌 PoC 부터 적용까지 일주일 이내

(크리밋) 실제로, 엔라이튼에서는 PoC 이후 3일만에 도입 결정을 내려주셨고 이후에 실제 사용까지는 30분도 걸리지 않는 쉬운 연동으로 Credential 위협을 크리밋을 통해 대응하고 계십니다.

향후 크리밋 활용 계획이 어떻게 되시나요?

엔라이튼 개발자분들이 열심히 개발하고, 구성원분들이 고객에게 제공하는 서비스들을 안전하게 지키고, 더 이상 사용되지 않는 오래된 크리덴셜들을 검출하기 위해 크리밋을 적극적으로 활용할 예정입니다.

사내 교육과 크리덴셜 관리 가이드, 사용하지 않는 서비스 정리를 통해 비용절감등을 지속적으로 진행할 예정입니다. 이 과정에서 크리밋과의 다양한 협업과 연계가 시너지를 일으킬 수 있을거라고 생각합니다.

‍
엔라이튼이 주도하는 에너지 거래, 에너지 혁신이 매우 기대됩니다! 에너지 IT 플랫폼 선두 기업의 여정에 있어 보안성을 높일 수 있도록 빈틈없는 파트너로 크리밋도 함께하도록 하겠습니다.
‍

엔라이튼이 Credential 보안의 여정에 크리밋을 선택한 이유가 궁금하시다면?

`Contact Us!`

AI 기반 인사이트를 활용하여 Non-Human Identity 위험을 완벽하게 관리하세요.

기본적인 데이터를 넘어, Non-Human Identity 위험을 선제적으로 완벽하게 관리하고 완화하는 데 필요한 실행 가능한 AI 기반 인사이트를 확보하세요.

시작하기

A dark-themed cybersecurity dashboard from Cremit showing non-human identity (NHI) data analysis. Key metrics include “Detected Secrets” (27 new) and “Found Sensitive Data” (58 new) from Jan 16–24, 2024. Two donut charts break down source types of detected secrets and sensitive data by platform: GitHub (15k), GetResponse (1,352), and Atera (352), totaling 16.9k. The dashboard includes a line graph showing trends in sensitive data over time, and bar charts showing the top 10 reasons for sensitive data detection—most prominently email addresses and various key types (API, RSA, PGP, SSH).

Blog

더 많은 뉴스 및 업데이트 살펴보기

최신 사이버 위협과 주요 업계 보안 트렌드에 대한 최신 정보를 확인하세요.

OWASP NHI5:2025 과도한 권한 분석

OWASP NHI5: NHI 및 AI의 과도한 권한 심층 분석. 원인, 위험, 탐지 방법 및 CIEM, PaC, JIT 액세스와 같은 완화 전략을 알아보세요.

고객 인터뷰: ENlighten에서 얻은 인사이트