OWASP NHI4:2025 불안전한 인증
OWASP NHI4:2025 불안전한 인증
오늘날 IT 인프라, 자동화, 클라우드 환경은 더 이상 인간만이 운영하는 것이 아닙니다. 서비스 계정, API, 마이크로서비스, IoT 기기, 봇과 같은 비인간 신원(Non-Human Identities, NHIs)이 현대 기술 생태계의 핵심적인 역할을 수행하고 있습니다. 이들은 인간의 직접적인 개입 없이 시스템과 데이터에 접근하고 작업을 자동화합니다.
NHI의 수는 기하급수적으로 증가하 있습니다. 최근 연구에 따르면 NHI는 이미 인간의 수를 훨씬 넘어섰으며, 한 보고서는 인간 한 명당 평균 46개의 NHI가 존재한다고 추정합니다. 2025년에는 그 수가 450억 개를 넘을 것으로 예측되며, 특히 DevOps 환경에서는 인간보다 NHI가 최소 45배 많다고 합니다.
이러한 NHI의 폭발적인 증가는 공격 표면을 근본적으로 변화시켰습니다. 더 이상 인간 계정 보안에만 집중하는 방식으로는 충분하지 않습니다. NHI의 방대한 규모는 보안 관리 방식의 변화를 요구합니다. 수동 관리는 불가능하며, 대부분의 NHI가 보안 사각지대에 놓여 심각한 위험을 초래할 수 있습니다. 따라서 NHI를 자동으로 탐지, 관리, 보호하는 전문 도구가 필수적입니다. 저희 Cremit 역시 이러한 NHI 보안 문제, 특히 (/blog/hidden-dangers-why-detecting-secrets-in-s3-buckets-is-critical)과 숨겨진 NHI 탐지의 어려움에 주목하고 있습니다.
러한 배경 속에서 OWASP(Open Web Application Security Project)는 NHI 관련 주요 보안 위협을 식별하고 개발자와 보안 전문가에게 실질적인 지침을 제공하기 위해 OWASP NHI Top 10 리스트를 발표했습니다. 이 목록은 NHI 보안에 대한 인식을 높이고 효과적인 대응 전략을 수립하는 데 중요한 기준점을 제공합니다. 저희 Cremit 블로그에서도 (/resources).
이번 글에서는 OWASP NHI Top 10의 네 번째 항목인NHI4:2025 불안전한 인증(Insecure Authentication)을 심층적으로 분석합니다. 불안전인증은 NHI가 자신의 신원을 증명하고 보호된 자원에 접근하는 과정에서 발생할 수 있는 모든 보안 취약점을 포괄합니다. 이는 공격자가 시스템에 침투하여 데이터를 탈취하는 첫 번째 관문으로 자주 악용되므로 매우 중요한 위협 요소입니다.
개발자, 보안 전문가, DevOps 엔지니어 등 여러분에 NHI4를 이해하고 대비하는 것은 안전한 애플리케이션, API, 인프라를 구축하고 보호하는 데 필수적입니다. 특히 클라우드 및 자동화 환경에서는 그 중요성이 더욱 커집니다. 저희 Cremit은 이러한 과제에 대한 통찰력과 해결책을 제공하고자 노력하고 있습니다. 이 글을 통해 NHI4의 복잡성을 파악하고 효과적인 방어 전략을 수립하는 데 도움을 드리고자 합니다.
NHI 환경에서 불안전한 인증은 단순히 잘못된 비밀번호 사용 이상의 의미를 갖습니다. NHI의 신원을 확인하고 접근 권한을 부여하는 전체 프로세스에 내재된 취약점을 모두 포함합니다. 여기에는 자격 증명 관리의 허점, 안전하지 않은 통신 프로토콜 사용, 잘못된 권한 부여 로직 등이 포함됩니다.
NHI 환경에서 불안전한 인증은 다음과 같은 다양한 형태로 나타납니다.
단순 API 키 인증은 널리 사용되지만, 상호 검증 기능이 부족하고 가로채기에 취약하여 질적으로 mTLS나 동적 자격 증명 방식보다 약합니다.
API 키는 사용자 로그인과 달리 2단계 인증(2FA)으로 보호되지 않는 경우가 많아 유출 시 더 큰 위험을 초래할 수 있습니다.
SPIFFE/SPIRE와 같은 기술은 이러한 고정 키의 한계를 극복하고, 네트워크 기반 신뢰 대신 신원 기반 상호 인증을 가능하게 하는 짧은 유효 기간의 SVID를 사용하여 mTLS를 구현합니다.
이는 기본적인 API 키 인증에서 벗어나 민감한 NHI 통신에는 더 강력하고 신원 기반의 상호 인증 방식으로 전환해야 함을 시사합니다.
이론적인 위험을 넘어, NHI의 불안전한 인증은 실제로 다음과 같이 심각하고 현실적인 결과를 초래할 수 있습니다.
실제 침해 사례를 살펴보는 것은 이론적인 위험이 얼마나 현실적인지 깨닫고 대응의 시급성을 느끼는 데 중요합니다. 아래 표는 최근 NHI의 불안전한 인증을 악용한 주요 침해 사례들을 요약한 것입니다.
Dropbox Sign
2024년 4월
서비스 계정 (백엔드 시스템 설정 도구)
서비스 계정 탈취, 잠재적 과도한 권한 부여
모든 사용자 데이터(이메일, 사용자 이름), 일부 인증 정보(API 키, OAuth)
Microsoft (OAuth)
2024년 1월
악성 OAuth 애플리케이션, 비-프로덕션 테넌트 침해
레거시 OAuth 앱 악용(관리되지 않는 NHI), 과도한 권한 부여
프로덕션 환경 접근, 내부 이메일 노출
Snowflake
2024년 5월
탈취된 자격 증명 (고객 NHI 대상 추정)
고객 측의 부적절한 자격 증명 보호/관리
약 165개 조직 데이터 유출 (예: Ticketmaster)
Internet Archive
2024년 10월
GitLab 리포지토리에 노출된 API 키/인증 토큰
하드코딩/노출된 비밀 정보, 교체 부족 (2년 방치)
3,100만 사용자 계정, 시스템 접근
Hugging Face
2024년 6월
무단 서버 접근
Spaces 플랫폼에서 토큰 및 API 키 도난
잠재적 데이터 침해, 워크플로우 중단
New York Times
2024년 6월
과도한 권한을 가진 GitHub 토큰
NHI 토큰에 과도한 권한 부여
소스 코드 도난 (모든 리포지토리 접근)
미 재무부/BeyondTrust
2024년 12월
탈취된 API 키 (서드티 제공업체)
안전하지 않은 서드파티 API 키 관리
AWS 자산 접근, 고객 인스턴스 침해
tj-actions/changed-files
2025년 3월 (언급)
탈취된 GitHub Action 토큰 (CI/CD NHI)
CI/CD 파이프라인 내 토큰 유출/오용 가능성
비밀 정보 도난, 공급망 위험
Bybit
2025년 3월 (언급)
API 키 유출, 잠재적 AWS S3 침해
노출된 API 키, 안전하지 않은 클라우드 스토리지
14억 달러 상당 암호화 도난 (보고 수치, 확인 필요)
Dropbox Sign 침해 사고는 NHI4 실패가 어떻게 연쇄적인 위험으로 번지는지 잘 보여줍니다. 공격은 자동화된 설정 도구가 사용하는 백엔드 서비스 계정(NHI)을 탈취하면서 시작되었습니다. 여기서 핵심적인 NHI4 실패는 서비스 계정 자체의 보안이 약했거나(예: 보호 조치 미흡) 너무 많은 권한을 가지고 있었다는 점입니다.
이 첫 번째 침해의 결과는 광범위했습니다. 공격자는 사용자의 이메일, 사용자 이름, 전화번호, 암호화된 비밀번호뿐만 아니라 API 키와 OAuth 토큰 같은 중요한 인증 정보까지 손에 넣을 수 있었습니다. 심지어 계정을 만들지 않은 서명 참여자의 정보까지 노출되었습니다.
여기서 주목할 점은, 권한 있는 NHI 하나가 탈취되면서 다른 인증 정보(API 키, OAuth 토큰)까지 대량으로 노출되었다는 사실입니다. 이는 초기의 NHI4 실패(안전하지 않은 서비스 계정 인증/권한)가 다른 NHI 인증에 필요한 자격 증명 탈취로 바로 이어져 공격 표면을 기하급수적으로 넓히고, 모든 키와 토큰을 교체하는 등 대대적인 복구 작업을 필요하게 만들 수 있음을 보여줍니다. Dropbox는 이 사고 후 비밀번호 재설정, 모든 사용자 세션 강제 로그아웃, 그리고 모든 API 키와 OAuth 토큰을 전면 교체해야 했습니다. 이 사건은 NHI 보안의 여러 측면이 얼마나 긴밀하게 연결되어 있는지를 명확히 보여주는 사례입니다.
NHI 환경에서 불안전한 인증 위협에 효과적으로 맞서려면 제로 트러스트(Zero Trust) 보안 모델을 NHI에도 엄격하게 적용하는 것이 핵심입니다. "절대 믿지 말고, 항상 검증하라(Never Trust, Always Verify)"는 원칙에 따라 모든 NHI의 접근 요청을 다뤄야 합니다. 네트워크 위치에 상관없이 모든 상호 작용에 대해 명확한 인증과 권한 부여가 필요하며, 이는 지속적인 인증 및 권한 부여(Continuous Authentication and Authorization)를 통해 이루어져야 합니다.
하지만 SAST나 DAST만으로는 부족할 수 있습니다. 이들은 상호 보완적이며, 비밀 정보 스캔 전문 도구는 종종 더 집중적인 탐지 기능을 제공합니다.
또한, 도구 사용만으로는 부족하며 프로세스가 중요합니다. 한 연구에서는 비밀 정보 관리 솔루션을 사용하는 저장소에서도 여전히 유출이 발생한다고 지적했습니다.
SAST는 때때로 너무 많은 결과를 생성하여 우선순위 결정에 어려움을 줄 수도 있습니다. 이는 SAST/DAST가 필요하지만 충분하지 않다는 것을 의미합니다.
저희 Cremit의 솔루션과 같은 전문 비밀 정보 탐지 도구를 CI/CD 파이프라인에 통합하면 일반적인 SAST/DAST를 보완하여 더 집중적이고 신속하게 문제를 식별할 수 있습니다.
미국의 행정 명령 14144(Executive Order 14144)와 같은 규제들은 NHI 보안을 강화하는 중요한 동력이 되고 있습니다. 이 명령은 특히 연방 정부 기관과 계약업체에 영향을 미치지만, 업계 전의 모범 사례에도 영향을 줍니다.
주요 관련 요구 사항은 다음과 같습니다:
EO 14144와 같은 규제 명령은 NHI4와 싸우는 데 필요한 많은 모범 사례들을 법제화하고 있습니다. 이는 특히 연방 계약업체와 같은 특정 분야에서 NHI 보안 수준을 높여야 한다는 압박을 가하며, NHI 보안을 '하면 좋은 것'에서 '반드시 해야 하는 것'으로 변화시키고 있습니다.
NHI 보안은 일회성 작업이 아니라 지속적인 과정입니다. 위협은 끊임없이 진화하고 환경은 계속 변화합니다. 따라서 수립된 전략을 꾸준히 모니터링하고, 정기적으로 검토하며, 필요에 따라 지속적으로 개선해 나가야 합니다.
NHI4:2025 불안전한 인증은 현대 시스템에서 가장 중요하고 널리 퍼져있는 위협 중 하나입니다. 공격자가 시스템에 침투하는 주요 통로 역할을 하며, 그 결과는 치명적일 수 있습니다.
NHI 보안 태세를 강화하기 위한 핵심 방어 전략은 다음과 같습니다:
저희 Cremit은 기업들이 이러한 복잡한 과제, 특히 비밀 정보 탐지와 가시성 확보 측면에서 어려움을 극복할 수 있도록 돕는 데 최선을 다하고 있습니다. 계속 증가하는 NHI 관련 보안 위협으로부소중한 자산을 보호하기 위해서는 선제적이고 꾸준한 노력이 필수적입니다. 이 글이 여러분의 NHI 보안 인식을 높이고 실질적인 보안 강화에 도움이 되기를 바랍니다.