비인간 신원(NHI) 보안 및 관리 업체인 클러치 시큐리티(Clutch Security)가 기존 비밀 순환 방식의 실효성에 의문을 제기하는 획기적인 연구 결과를 발표했다.

이 연구는 자동화된 도구를 활용하는 공격자들이 조직의 대응 속도보다 훨씬 빠르게 유출된 NHI를 악용하는 방법을 밝혀냈다. 일부 보안 침해 사고는 1분도 되지 않는 시간 내에 발생하는 것으로 나타났다.

그동안 사이버 보안 업계에서는 API 키, 토큰, 서비스 계정, 인증서 등 다양한 자격 증명을 120일, 90일, 또는 30일 간격으로 순환하는 것을 핵심으로 여겼다. 그러나 클러치 시큐리티의 연구 결과는 이러한 방식이 이제는 오히려 비효율성을 초래하고 가짜 보안 인식을 만들어내 급변하는 위협에 대응하지 못하게 한다는 점을 명확히 드러냈다.

초단위로 유출되는 보안 비밀

클러치 시큐리티의 연구팀은 통제된 실험을 통해 클라우드 환경, SaaS 애플리케이션, CI/CD 파이프라인, 개발자 포럼 등 다양한 플랫폼에 걸쳐 NHI를 의도적으로 유출했다.

그 결과, 트래픽이 높은 플랫폼에서 유출된 비밀은 불과 몇 초 만에 악용되었으며, 무단 활동은 UTC 시간 기준 이른 아침 시간대에 급증했다.

시간당 순환되는 비밀 정보도 동일한 속도로 여전히 침해되어, 공격자들이 공격적인 순환 일정보다 더 빠르게 행동한다는 사실이 입증되었다.

깃허브에 유출된 자격 증명은 거의 즉시 액세스되는 경우가 많았으며, 공격자들은 유출된 비밀을 긁어모으는 봇을 배치했다.

또한 공격자들은 유출된 비밀을 활용해 권한을 상승시키고 측면 이동을 수행하며, 고도로 조직화된 첨단 기술을 과시했다.

비밀 순환의 거짓 약속, 보안의 맹점

비밀 순환은 여전히 많은 조직에서 규제 준수를 위한 점검 항목으로 포함하고 있지만, 클러치의 연구 결과에 따르면 유출된 비밀은 매우 빠르게 악용된다. 더욱 심각한 것은, 순환에 대한 과도하게 의존하는 태도가 전반적인 보안 전략의 맹점을 만들어낸다는 점이다.

이번 연구 결과는 침해의 증거가 없는 한 주기적인 비밀번호 변경을 권장하지 않는 최신 NIST 가이드라인(SP 800-63B)과도 맞닿아 있다.

이러한 변화를 지원하기 위해 클러치는 유출된 AWS 접근 키를 즉시 취소해 공격자들이 악용하기 전에 차단할 수 있도록 하는 오픈 소스 솔루션인 ‘AWS키록다운(AWSKeyLockdown)’과 같은 커뮤니티 중심 도구를 출시했다.

클러치 시큐리티의 공동 창업자이자 CEO인 오피르 하르첸(Ofir Har-Chen)은 “아무리 훌륭한 보안 프로세스라도 비밀 정보가 한번 유출되면 대항할 수 없다. 따라서 방어 전략을 재고해야 하며, 제로 트러스트 아키텍처와 일시적 ID 같은 선제적 조치에 집중해 공격 표면을 축소하고 피해를 제한해야 한다.”고 말했다.