최근 Lapsus$로 알려진 해커들이 삼성의 약 200GB 소스 코드를 포함하여 세계적 기술 회사의 소스 코드를 강탈해 보안 체계에 비상이 걸렸다.
소스 코드는 실제 제품의 청사진과 비슷하다. 기술에 정통한 사람은 대규모 시스템 또는 소프트웨어의 내부 작동에 완전히 액세스할 수 있으며, 이는 하드코딩된 자격 증명과 같은 취약점을 쉽게 찾아낼 수 있음을 의미한다.
예를 들어 GitGuardian은 삼성 코드를 스캔할 때 6600개 이상의 비밀을 발견했다. GitGuardian의 개발자인 Mackenzie Jackson은 "삼성 소스 코드에서 발견된 6,600개 이상의 키 중 대략 90%는 삼성의 내부 서비스 및 인프라용이고, 나머지 10%는 AWS, GitHub, Artifactory 및 Google과 같은 삼성의 외부 서비스 또는 도구에 대한 액세스 권한을 부여할 수 있다"라고 말했다.
IT 부문의 95%가 오픈 소스 소프트웨어에 의존하는 세상에서 소스 코드는 코드의 첫 번째 줄이 생성되는 순간부터 지적 재산으로 간주된다. 실제로 저작권 소유자 및 권한을 나타내는 헤더를 포함하여 소스 코드 파일을 보는 것이 일반적이다.
소스 코드에는 저작권, 특허 또는 상표가 보호할 수 없는 영업 비밀도 포함될 수 있다. 혁신과 속도가 중요한 산업에서 이 정보를 비밀로 유지하지 못하면 특히 젊은 신생 기업일수록 치명적일 수 있다. 또한 해커가 프로덕션에 배포된 워크로드의 내부를 볼 수 있게 하여 문제가 될 수 있다.
그렇다면 소스 코드가 유출되었는지 확인할 방법은 없을까? 외신인 infosecurity에 따르면 사실 데이터 유출 문제를 겪었는지 여부에 관계없이 기업의 소유 코드는 기업이 모르는 사이에 GitHub에 공개적으로 존재할 수 있다. 회사가 플랫폼에 공식적으로 존재하지 않더라도 개발자가 오픈 소스 프로젝트에 기여하거나 개인 저장소를 사용하여 코드를 공유할 가능성이 있다. 따라서 애초에 GitHub에 매핑하는 것을 진지하게 고려해야 한다.
독점 코드를 지문으로 인식하고 이를 공개 파일 데이터베이스와 비교하여 소스 코드 누출을 식별하는 방법도 있다. HasMyCodeLeaked의 경우, 누구나 지적 재산과 관련된 가장 중요한 일치 항목을 신속하게 식별할 수 있도록 도와준다. 이 도구는 GitHub의 공개 기록에서 코드 지문(모든 버전을 포함하여 파일을 식별하는 체크섬)을 정확하게 조회하여 작동한다.
또한 고위험 리포지토리를 식별하는 스마트 필터링과 함께 소스 코드가 포함된 모든 리포지토리에 대한 검색 가능한 보고서를 생성한다.
Thomas Segura는 infosecurity를 통해서 “소스 코드 누출은 브랜드의 평판을 손상시키고 회사의 가치 있는 자산에 손해를 입힐 수 있으므로 심각하게 받아들여야 한다”라면서 “DMCA 게시 중단 요청을 통해 저작권이 있는 콘텐츠를 공개 플랫폼에서 철회할 수 있지만 영업 비밀이 노출되어 비즈니스의 가장 혁신적인 측면을 위태롭게 할 수도 있다”고 설명했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
