크리덴셜 관리의 어려움
API 키와 Secret과 같은 Non-Human Identities는 현대의 클라우드 기반 협업 환경에서 서비스를 개발하는 데 필수적입니다. 그러나 내부 임직원들의 작업 속도를 높이기 위해 이러한 자격 증명을 코드 저장소, 메신저, 클라우드 문서와 같이 쉽게 접근할 수 있는 곳에 저장하면서 노출 위험이 커졌고, 그 결과 Okta, Microsoft, Uber, CloudFlare와 같은 회사에서 주요 보안 침해 사건이 발생했습니다.
이를 해결하기 위해 TruffleHog와 GitGuardian 같은 도구들이 등장했습니다. 오픈 소스 솔루션인 TruffleHog는 정규 표현식(regex) 패턴을 사용하여 소스 코드와 협업 플랫폼에서 다양한 자격 증명 유형을 검증하며 스캔합니다. 그러나 사전에 설정된 패턴에 의존하기 때문에 새로운 자격 증명 유형이나 설정된 패턴 범위를 벗어난 민감한 정보를 감지하는 데 한계가 있으며, 한 번에 하나의 문서나 소스만 스캔할 수 있습니다. SaaS 기반 서비스인 GitGuardian은 다양한 클라우드 제품 전반에 걸쳐 실시간 알림과 보고 기능을 제공하지만, 확장성과 사용자 맞춤측면에서 어려움을 겪으며 특히 개인 식별 정보(PII)를 탐지하는 기능이 부족합니다. 기존 도구의 한계로 보다 강력한 Secret 탐지, Non Human Identities 보안 솔루션의 필요성이 부각되고 있습니다.
Cremit Platform 소개
Cremit은 Credential Limit에서 시작했습니다. 노출된 크리덴셜을 안전한 영역에서 사용되게 하고, 보안성을 높이기 위해 나온 솔루션입니다. 크리밋은 기존 크리덴셜 탐지 제품들의 한계를 극복하고 완벽한 보안을 제공합니다. 페럿의 특징은 다음과 같습니다.
- 다양한 협업 도구 지원: 크리밋은 소스코드 저장소 뿐만 아니라 Jira, Confluence, 노션과 같은 다양한 협업 도구를 스캔할 수 있습니다. 이를 통해 개발 과정이 아닌 일상적인 업무 과정에서 발생할 수 있는 크리덴셜 노출 위험을 종합적으로 탐지합니다.
- 광범위한 크리덴셜 탐지 및 검증: 크리밋은 800여 종에 가까운 크리덴셜을 탐지합니다. 또한 크리밋은 탐지된 크리덴셜이 실제로 유효한지 여부를 자동으로 검증합니다. 이를 통해 오탐율을 최소화하고 보안팀은 실제 위협에 집중할 수 있도록 돕습니다.
- 다중 소스 스캔: 크리밋은 단일 소스뿐만 아니라 여러 소스를 동시에 스캔하고 검증할 수 있습니다. 이를 통해 대규모 조직에서도 효율적으로 크리덴셜을 탐지하고 검증하는 작업을 수행할 수 있습니다.
- AI기반 민감 데이터 탐지: 크리밋은 크리덴셜 탐지 외에도 AI 모델을 활용하여 PII 등의 민감 데이터를 탐지할 수 있습니다. 특히 크리밋은 자연어 분석에 최적화된 모델과 코드 분석에 최적화된 모델을 선택적으로 적용하여 높은 탐지 정확도를 달성했습니다.
- 대시보드 및 알림 기능 지원: 크리밋은 직관적인 웹 대시보드를 통해 크리덴셜 탐지 현황을 파악할 수 있습니다. 또한 슬랙 등의 메신저로 실시간 알림을 받아볼 수 있어 신속한 대응이 가능합니다.
Cremit의 이러한 특징들은 기존 크리덴셜 탐지 도구의 한계를 극복하고 보안 수준을 한층 더 높이는데 기여할 수 있습니다. 특히 정교한 크리덴셜 검증과 AI 기반 민감 데이터 탐지, 그리고 다중 소스 스캔은 페럿만의 차별화된 강점입니다.뿐만 아니라 페럿은 타사 제품들과 비교했을 때 현저한 성능 우위를 보여줍니다. 신속한 크리덴셜 노출 위협에 대응하기 위해서 속도는 매우 중요한 요소입니다. Cremit은 Rust 언어로 작성 됐으며 효율적인 문자열 탐색 알고리즘과 최적화를 통하여 대용량 데이터에서도 빠르게 크리덴셜을 탐지할 수 있습니다.
Cremit은 Linux, Chromium, Spring Boot등 다양한 환경에서 TruffleHog 대비 크게 향상된 스캔 속도를 보여 줬습니다. 코드베이스들을 스캔하는데 있어서 평균적으로 2배정도의 성능 향상을 보여줬으며, Chromium과 같이 방대한 프로젝트의 경우 약 8.8배 빠른 성능을 보여줬습니다. 이는 크리덴셜 노출에 대한 신속한 대응이 가능하다는 걸 의미하며, 대규모 조직에서 크리덴셜 탐지 작업의 효율성을 크게 높일 수 있음을 보여줍니다.향후 계획Cremit은 지속적인 발전을 통해 고객들에게 더 큰 가치를 제공할 예정입니다. 다음은 페럿의 향후 계획입니다.
- 협업 도구 및 탐지 종류 지원 범위 확대: 현재 Cremit은 다양한 협업 도구를 지원하고 있지만, 더 많은 클라우드 협업 도구들을 지원할 계획입니다. 이를 통해 고객들은 업무 환경에 맞게 페럿을 적용할 수 있습니다. 또한 텍스트가 아닌 이미지와 같은 데이터에 대해서 크리덴셜을 탐지할 수 있는 기능을 제공할 계획입니다.
- 사용자 정의 탐지 및 검증 규칙: 내부에서만 사용하는 아이디와 비밀번호 탐지하고 검증하는 특수한 요구사항을 위해 크리덴셜 탐지 및 검증 규칙을 추가할 수 있는 기능을 제공할 예정입니다. 이를 통해 페럿의 확장성과 유연성을 제공하여 보안 수준을 향상시킬 수 있습니다.
- 크리덴셜 메타 데이터 수집 및 관리: 발견된 크리덴셜들의 메타데이터를 활용하여, 노출 범위와 위협도를 식별하는 기능을 제공할 예정입니다. 이를 통해 보안 담당자들이 크리덴셜 관리가 용이해질 것이며 작업 효율성이 크게 향상될 것입니다.
- AI 모델 다양화 및 성능 개선: Cremit의 AI 모델들을 더욱 다양화하고 학습 성능을 향상시켜 더 정확하고 다양한 민감 데이터 탐지를 가능하게 할 계획입니다.
- 크리덴셜 자동 조치 기능: 노출된 크리덴셜을 자동으로 변경하거나 비활성화하는 기능을 개발할 계획입니다. 이를 통해 크리덴셜 유출 사고 발생 시 신속하고 효과적인 대응이 가능해질 것입니다.
크리덴셜 보관 및 사용: Cremit이 탐지한 크리덴셜들을 안전하게 보관하고 쉽게 사용할 수 있는 기능을 제공할 계획입니다. 이를 통해 크리덴셜 라이프 사이클의 전체 과정을 크리밋내에서 처리할 수 있게 될 것 입니다.
Let's Get Started
Cremit은 스타트업, 중소기업, 대기업 및 금융 부문에 최적화된 SaaS 및 온프레미스(엔터프라이즈) 솔루션을 모두 제공합니다. 800개 이상의 비밀 검증, NER 기반 개인 정보 탐지 기능과 소스 코드, 협업 도구, 문서 및 저장소 통합을 지원하여 조직의 보안 태세를 강화할 수 있도록 지원합니다.
기본적인 데이터를 넘어, Non-Human Identity 위험을 선제적으로 완벽하게 관리하고 완화하는 데 필요한 실행 가능한 AI 기반 인사이트를 확보하세요.
Blog
최신 사이버 위협과 주요 업계 보안 트렌드에 대한 최신 정보를 확인하세요.