기업이 SaaS 네이티브 및 멀티 클라우드 환경으로 진화할수록 비밀이 유출될 수 있는 장소도 늘어난다. 깃허브에만 지난 해 동안 수백만 개의 코드 리포지토리가 추가되면서, 민감한 정보가 의도적이든 우연이든 노출될 위험이 증가하고 있다.

트루플호그(TruffleHog)는 소프트웨어 개발 과정에서 보안 문제를 탐지하기 위한 도구로, 소스 코드나 버전 관리 시스템(Git 등)에서 노출된 비밀번호, API 키, 토큰 등과 같은 민감한 정보를 검색하는 오픈소스다. 이 도구는 정규 표현식을 사용하여 코드 내의 잠재적인 비밀 데이터를 찾아내며, 개발자가 실수로 중요한 정보를 노출하지 않도록 도와주며, 주로 오픈소스 프로젝트에서 활용되며, 민감한 정보가 유출되지 않도록 방지하는 데 중요한 역할을 한다.

트루플호그 개발사인 트부플 시큐시티(Truffle Security)가 발견된 자격 증명의 권한을 분석할 수 있는 도구 트루플호구 애널라이즈(TruffleHog Analyze)을 발표했다.

트루플호구 애널라이즈는 API 키, 비밀번호 및 기타 신원 정보에 대한 중요한 통찰력을 제공하여 보안 담당자가 유출의 영향을 평가하고 대응 우선순위를 정할 수 있도록 돕는다. 이 도구는 사용자 이름, 비밀번호 또는 MFA 토큰 없이도 민감한 자격 증명과 연관된 리소스와 권한을 자동으로 식별한다.

이 도구는 트루플호구의 비밀 탐지 기능을 강화하여, 기업의 비인간 자격 증명 및 신원의 엄격한 보안을 보장해 ID 및 접근 관리(IAM) 분야에서 중요한 격차를 해결한다. 트루플호구와 트루플호구 애널라이즈를 결합하여 사용하면, 보안 담당자는 회사의 전체 기술 스택에서 유출된 비밀의 영향을 관리할 수 있다.

트루플호구는 트루플호구 애널라이즈와 원활하게 작동하여 유출된 자격 증명을 관리하기 위한 포괄적인 솔루션을 제공한다. 트루플호구는 실시간 API 키나 비밀을 탐지하고 검증하여 잠재적 취약성을 식별한다. 이러한 자격 증명이 식별되면 트루플호구 애널라이즈가 각 키의 소유자, 접근 수준 및 중요성을 결정해 이들의 중요성을 평가한다. 이러한 통합 접근 방식은 보안 팀이 철저한 분석을 수행하여 우선순위를 결정하고 다음 단계를 정할 수 있도록 한다.

주요 기능으로 자동 탐지 기능은 제공자의 UI에 접근할 필요 없이 API 키와 비밀과 연결된 리소스와 권한을 손쉽게 식별하여 탐지 프로세스를 간소화한다.

영향 평가 및 맥락 제공 기능은 각 키의 능력에 대한 철저한 분석을 제공하여 보안 팀이 자격 증명 유출의 잠재적 결과를 이해할 수 있도록 한다.

대응 우선순위 설정기능은 유출된 자격 증명에 대한 대응 우선순위를 설정하도록 도와 즉각적이고 효과적인 완화 조치를 취할 수 있도록 한다.

딜란 애이레이(Dylan Ayrey) 트루플 시큐리티 CEO이자 공동 창립자는 “보안 팀은 유출된 API 키에 대한 많은 경고를 받지만, 조직에 미치는 잠재적 영향을 파악하는 데 어려움을 겪는다. 일부 API 키는 위험이 거의 없지만, 다른 키는 회사의 디지털 자산을 완전히 파괴할 수 있다. 트루플호구 애널라이즈는 보안 팀이 이러한 시나리오를 자동으로 구별하고, 그에 따라 대응 우선순위를 정할 수 있는 맥락을 제공한다.”고 말했다.