[2023/6/12] 보안 뉴스

1. 사이버 범죄자들, 오픈AI API 키 스크랩해서 GPT4를 무허가로 사용한다

기사요약

1) 오픈AI의 기술을 앱에 녹여내기 위해 개발자들은 API라는 것을 사용한다.
2) API를 사용하려면 인증을 거쳐야 하는데, 개발자들이 이 인증 정보와 키 정보를 종종 소스코드에 그대로 입력해 놓는다.
3) 그리고 그 소스코드를 공개한다.
4) 해커들이 소스코드 공유 플랫폼을 스캔해서 API 키와 개발자 계정 크리덴셜을 수집한다.
5) 그리고 이를 판매한다.
6) 구매자들은 원 API 키와 개발자 계정을 자기 것처럼 사용할 수 있다.
7) 사용과 관련된 비용은 전부 피해자에게 부담된다. 공격자는 피해자의 민감한 정보에도 접근할 수 있다.

기사발췌

- 보안 업체 NCC그룹(NCC Group)의 수석 과학자 크리스 앤리(Chris Anley)는 “이 이야기가 어떻게 끝날지 아무도 모르지만 교훈은 확실하다”고 말한다. “그건 바로 소스코드에 그 어떤 크리덴셜 정보도 남기면 안 된다는 것입니다. 그런 코드를 공유 사이트에 올리는 건 더더욱 안 될 일이고요.”

- 이런 시장이 존재할 수 있는 건 우선 개발자들이 안전한 개발 행위를 하지 않아서이다. 하지만 그게 전부는 아니다. API 키나 크리덴셜이 공공 플랫폼에 너무 간단히 노출되어 있다는 것도 문제다.

- 오픈AI는 심지어 가이드라인까지 제공하고 있습니다. 각 사용자에마다 고유한 키를 설정하고, 환경 변수를 활용하고, 키를 계속 바꿔가면서 쓰고, 코드에 키를 넣지 않도록 조작 차원에서 관리해야 한다는 내용을 담고 있습니다.

 

✏️ 테크 분야에서 일하는 사람들은 보안 사고에 대해 잘 알고 조심할 것이라고 생각했지만, 가끔은 간과하게 되는 경향도 있는 것 같다. 범죄자들이 많은 만큼, 사고를 방지하기 위해 기본적인 보안 수칙을 철저히 지켜야 한다는 사실을 다시금 깨달았다. 

---

2. 비주얼 스튜디오에서 발견된 취약점, 개발자들의 특별한 주의 필요

기사요약

1) 비주얼 스튜디오에서 악성 extension을 설치하도록 유도해 멀웨어를 유포하도록 하는 취약점이 발견되었다.
2) 개발자 환경에 통합된 버전들인 비주얼 스튜디오 2017부터 비주얼 스튜디오 2022까지 전부 취약하다고 볼 수 있다.
3) 비주얼 스튜디오 사용하는 사람이라면 패치를 설치하는 게 안전.

기사발췌

- “CVE-2023-28299는 좀 더 면밀히 지켜봐야 할 취약점입니다. 익스플로잇 자체가 쉽고 시장 점유율 26%를 기록하고 있는 제품에 존재하기 때문입니다. 공격자는 이 취약점을 통해 유명 퍼블리셔를 사칭할 수 있게 되며, 유명한 이름을 등에 업고 의심을 덜 받은 채 악성 엑스텐션을 유포할 수도 있습니다. 그리고 이를 통해 민감한 정보를 훔치고 코드를 변경하거나 시스템에 대한 완전 장악도 가능하게 됩니다.”

- “개발자들은 보안에 그리 민감한 부류들이 아닙니다. 오히려 업무 상의 경험 때문에 오히려 보안에 반감을 가지고 있을 확률도 존재하죠. 게다가 개발자들은 핵심 업무를 주로 맡고 있기도 합니다. 회사의 지적재산을 가장 많이 다루기도 하지요. 공격자들이 노리기에 안성맞춤인 사람들입니다. 실제로 요즘 개발자 노리는 게 해커들 사이에서 유행하고 있기도 하지요."

 

✏️ 개발자들을 타깃으로 하는 악성 코드 유포가 점차 증가하고 있다. 얼마 전에도 파이썬 라이브러리에 악성코드가 삽입되어 국내 많은 어플리케이션들이 악성 코드를 유포하는 앱으로 변조되는 사례가 있었다. 더욱이 비주얼 스튜디오의 extension에 악성코드를 넣는다면 성공하게 되었을 때 굉장히 크리티컬한 영향을 줄 것이다.
IT업계에서의 보안은 보안과 관련된 업무를 하는 사람들만의 것이 아니다. 일반 사용자들은 보안에 대한 관심을 갖기 어려우므로, 개발자들이 보안에 대한 인식을 높이고 적절한 조치를 취해야 할 필요가 있다.