다크웹에서 거래되는 API Key, 해커들의 새로운 타깃

다크웹에서 거래되는 API Key, 해커들의 새로운 타겟

다크웹에서 API Key가 거래되고 있습니다. 해커들은 더 이상 복잡한 해킹 기술로 방화벽을 뚫으려 하지 않습니다. 그냥 '열쇠'를 사면 됩니다. 이 글에서는 클라우드와 AI 시대에 내부자 위협과 NHI(Non-Human Identity) 보안이 왜 중요해졌는지, 그리고 왜 지속적인 내부 모니터링이 필수가 되었는지 살펴봅니다.

다크웹에서 API Key가 거래되고 있습니다.

해커들은 더 이상 복잡한 해킹 기술로 방화벽을 뚫으려 하지 않습니다. 그냥 '열쇠'를 사면 됩니다. GitHub에 실수로 커밋된 AWS Key, Slack에 공유된 서비스 계정 정보, 퇴사자 노트북에 남아있던 API 토큰. 이 모든 것이 다크웹에서 가격이 매겨져 거래됩니다. 유출된 API Key 하나면 복잡한 침투 과정 없이 정상적인 경로로 시스템에 접근할 수 있기 때문입니다.

Verizon의 2024 Data Breach Investigations Report에 따르면, 전체 데이터 유출 사고의 74%가 인적 요소(human element)와 관련이 있으며, 이 중 상당수가 자격증명(credentials) 탈취와 연관되어 있습니다. IBM의 Cost of a Data Breach Report 2024는 탈취된 자격증명으로 인한 침해 사고를 탐지하는 데 평균 292일이 걸린다고 밝혔습니다. 거의 10개월 동안 공격자가 시스템 내부에서 자유롭게 활동할 수 있다는 의미입니다.

이것이 오늘날 보안 위협의 현실입니다.

경계가 사라진 시대

경계는 사라졌습니다. 원격 근무, 클라우드 인프라, AI 에이전트의 시대에서 네트워크 위치를 기반으로 신뢰를 판단하는 것은 더 이상 불가능합니다.

클라우드와 AI 시대가 본격화되면서 기업 보안의 전제 자체가 바뀌고 있습니다. 과거에는 '내부'와 '외부'의 경계가 명확했습니다. 방화벽 안쪽은 신뢰할 수 있는 영역이고, 바깥은 위협이 존재하는 영역이라는 전제 하에 경계 보안에 집중하면 됐습니다.

하지만 이제 그 경계는 사실상 무의미해졌습니다.

직원들은 재택근무와 원격 접속으로 어디서든 업무 시스템에 접근합니다. 핵심 데이터는 온프레미스가 아닌 AWS, GCP, Azure 같은 퍼블릭 클라우드에 분산되어 있습니다. SaaS 애플리케이션들이 API로 연결되면서 시스템 간 데이터 흐름은 더욱 복잡해졌습니다. AI 에이전트와 자동화 봇은 사람의 개입 없이 시스템을 넘나들며 작업을 수행합니다.

Gartner는 2025년까지 기업 워크로드의 85%가 클라우드에서 운영될 것으로 전망했습니다. 이미 대부분의 기업에서 '내부 네트워크'라는 개념은 희미해지고 있습니다. 접속 IP가 회사 내부인지 외부인지로 신뢰 여부를 판단하는 것 자체가 불가능한 환경이 된 것입니다.

이런 환경에서 '외부 침입을 막는다'는 기존 보안 패러다임은 한계에 부딪힐 수밖에 없습니다.

내부자 위협: 가장 오래되고 가장 어려운 문제

내부자 위협의 근본적인 어려움은 정당한 접근 권한을 가진 사람의 행위라는 점입니다. 시스템은 정상 업무와 악의적 의도를 구분할 수 없습니다.

내부자 위협(Insider Threat)은 보안 업계에서 오랫동안 가장 대응하기 어려운 위협으로 꼽혀왔습니다. 그 본질적인 어려움은 '정당한 권한을 가진 사람'의 행위라는 데 있습니다.

외부 공격은 방화벽, 침입탐지시스템, 다중인증 등으로 차단할 수 있습니다. 그러나 업무상 시스템 접근 권한이 있는 직원이 데이터를 조회하고 활용하는 행위는 정상 업무와 구분하기 어렵습니다. 영업 담당자가 고객 정보를 조회하는 것, 개발자가 프로덕션 데이터베이스에 접근하는 것, 이 모든 행위가 업무상 필요할 수도 있고 악의적 목적일 수도 있습니다. 시스템 관점에서 두 행위는 동일하게 보입니다.

Ponemon Institute의 2023 Cost of Insider Threats Global Report에 따르면, 내부자 위협으로 인한 사고당 평균 비용은 1,540만 달러에 달합니다. 이는 2020년 대비 34% 증가한 수치입니다. 더욱 우려스러운 점은 내부자 위협 사고를 억제하는 데 평균 86일이 소요된다는 것입니다. 그리고 사고의 빈도도 증가하고 있습니다. 동일 보고서에 따르면 지난 2년간 내부자 위협 사고 건수가 44% 증가했습니다.

내부자 유출의 또 다른 특징은 비정상 트래픽이 발생하지 않는다는 점입니다. 수십만 건의 데이터가 빠져나가도 '정상 조회'로 기록되면 보안 솔루션이 경고를 울리지 않습니다. 대부분의 내부자 유출 사건이 수개월, 심지어 수년이 지난 후에야 발각되는 이유입니다. 외부 제보나 수사기관 통보로 뒤늦게 알게 되는 경우도 허다합니다.

CISA(미국 사이버보안 및 인프라 보안국)는 내부자 위협을 "조직의 자산에 대한 허가된 접근 권한을 가진 현직 또는 전직 직원, 계약자, 비즈니스 파트너가 해당 접근 권한을 악용하여 조직의 중요 정보나 시스템의 기밀성, 무결성, 가용성에 부정적인 영향을 미치는 것"으로 정의합니다. 여기서 핵심 키워드는 '허가된 접근 권한'입니다. 이것이 내부자 위협을 막기 어렵게 만드는 본질적인 이유입니다.

NHI: 새로운 내부자, 더 큰 위협

비인간 신원(NHI)은 이제 인간 사용자보다 10배에서 50배 더 많습니다. 이러한 기계 신원은 인간 내부자와 동일한 취약점을 가지고 있으며, 어떤 면에서는 더 위험합니다.

여기서 한 가지 더 주목해야 할 흐름이 있습니다. 보안 위협의 대상이 '사람'에서 '기계 신원'으로 확장되고 있다는 점입니다.

NHI(Non-Human Identity), 즉 비인간 신원은 API Key, 서비스 계정, 봇 토큰, OAuth 토큰, 인증서, 마이크로서비스 간 인증 정보 등 시스템 간 통신에 사용되는 자격증명을 의미합니다. 클라우드 네이티브 환경으로 전환하면서 NHI의 수는 폭발적으로 증가했습니다.

그 규모는 상상 이상입니다. 업계 분석에 따르면 일반적인 기업 환경에서 NHI는 인간 사용자 계정보다 10배에서 50배 이상 많은 것으로 추정됩니다. 대기업의 경우 수십만 개의 API Key와 서비스 계정이 존재할 수 있습니다. 문제는 이 중 상당수가 제대로 관리되지 않고 있다는 점입니다.

CyberArk의 2024 Identity Security Threat Landscape Report에 따르면, 조직의 93%가 지난 1년간 두 번 이상의 신원 관련 침해를 경험했습니다. 그리고 보안 리더의 68%가 비인간 신원(NHI)을 관리하는 것이 가장 큰 과제라고 응답했습니다. 이는 단순한 우려가 아니라 현실화된 위협입니다.

AI 시대가 되면서 이 추세는 더욱 가속화되고 있습니다. LLM 기반 에이전트들이 외부 서비스와 통신하기 위해 API Key를 사용하고, 자동화 워크플로우가 여러 시스템을 연결하면서 서비스 계정이 기하급수적으로 늘어나고 있습니다. MCP(Model Context Protocol) 같은 표준이 확산되면서 AI 에이전트가 접근하는 시스템의 범위도 넓어지고 있습니다. 하나의 AI 에이전트가 수십 개의 외부 서비스와 연동되는 것이 일상이 되고 있습니다.

문제는 이 NHI들이 내부자와 동일한 보안 취약점을 갖는다는 것입니다. 아니, 어떤 면에서는 더 위험합니다.

첫째, NHI는 휴가를 가지 않습니다. 24시간 365일 활성 상태로 존재합니다. 유출되면 공격자도 마찬가지로 언제든 접근할 수 있습니다.

둘째, NHI는 종종 과도한 권한을 부여받습니다. 개발 편의성을 위해 광범위한 접근 권한이 설정되는 경우가 많고, 이후 최소 권한 원칙에 맞게 조정되지 않는 경우가 대부분입니다.

셋째, NHI는 만료되지 않는 경우가 많습니다. 한번 생성된 API Key가 수년간 로테이션 없이 사용되는 것이 일반적입니다. OWASP(Open Web Application Security Project)는 이를 주요 API 보안 위험 중 하나로 꼽고 있습니다.

넷째, NHI의 소유자가 불분명한 경우가 많습니다. 처음 생성한 개발자가 퇴사하고, 해당 Key가 어디서 어떻게 사용되는지 아무도 모르는 '미관리 Key'가 조직 곳곳에 방치됩니다.

API Key는 시스템에 정당하게 접근할 수 있는 권한을 부여받은 '신원'입니다. 이 Key가 유출되면 공격자는 외부에서 마치 내부 시스템인 것처럼 정상적으로 접근할 수 있습니다. 방화벽을 뚫을 필요도, 인증을 우회할 필요도 없습니다.

다크웹: 해커들의 API Key 장터

어렵게 해킹을 시도할 이유가 있을까요? 이미 유출된 열쇠를 사면 됩니다. 다크웹에서 API Key와 자격증명 거래는 하나의 산업이 되었습니다.

해커들은 이미 이 사실을 간파했습니다. 그리고 그들은 합리적입니다. 왜 어렵게 해킹을 시도하겠습니까? 이미 유출된 열쇠를 사는 것이 훨씬 효율적입니다.

다크웹에서 API Key와 자격증명 거래는 하나의 산업이 되었습니다.

유출 경로는 다양합니다.

GitHub, GitLab 등 코드 저장소에 실수로 커밋된 API Key가 가장 흔한 경로입니다. 2024 State of Secrets Sprawl Report에 따르면, 2023년 한 해 동안 공개 GitHub 저장소에서 1,280만 건의 새로운 시크릿(secrets)이 탐지되었습니다. 이는 전년 대비 28% 증가한 수치입니다. 매일 수만 건의 API Key가 실수로 공개 저장소에 노출되고 있는 것입니다.

Slack, Confluence, Notion 같은 협업 도구에 공유된 자격증명도 주요 유출 경로입니다. 개발팀이 편의상 채널에 공유한 테스트 계정 정보, 위키에 문서화된 서비스 계정 비밀번호 등이 공격 대상이 됩니다.

퇴사자 관리 미흡으로 인한 유출도 심각합니다. 퇴사한 직원의 로컬 환경에 남아있던 API 토큰, 개인 클라우드에 백업된 설정 파일 등이 유출 경로가 됩니다. 그리고 이 정보들은 다크웹으로 흘러들어갑니다. 더 큰 문제는 퇴사자가 생성했던 API Key가 퇴사 후에도 여전히 활성 상태로 남아있는 경우입니다. 소유자는 떠났지만 열쇠는 여전히 작동하는 상황, 이것이 많은 조직의 현실입니다.

로그 파일에 평문으로 기록된 토큰, 스크린샷에 찍힌 환경변수, 심지어 Stack Overflow 질문에 포함된 실제 API Key까지. 공격자들은 이 모든 경로를 모니터링하고 있습니다.

공격자 입장에서 유출된 API Key는 매우 매력적인 자산입니다. 복잡한 해킹 기술 없이도 정상적인 인증 경로를 통해 시스템에 접근할 수 있기 때문입니다. 이렇게 확보한 Key로 시스템에 접근하면 정상 트래픽과 구분이 되지 않습니다. 내부자가 정당한 권한으로 데이터를 조회하는 것과 본질적으로 같은 상황이 벌어지는 것입니다.

보안팀 입장에서는 이것이 외부 공격인지, 내부 시스템의 정상 동작인지 구분할 방법이 없습니다. 특히 클라우드 환경에서는 접속 IP만으로 내부/외부를 판단하는 것 자체가 불가능합니다. 공격자는 정상적인 API 호출로 데이터를 빼돌리고, 로그에는 그저 '정상 요청'으로만 기록됩니다.

실제 사례: API Key 유출로 인한 대형 보안 사고

이론적인 위협이 아닙니다. 자격증명 유출로 인한 대형 침해 사고는 이미 여러 차례 발생했습니다. 공통점은 정교한 제로데이 공격이 아니라 단순히 유출되거나 과도한 권한이 부여된 자격증명이었다는 점입니다.

이론적인 위협이 아닙니다. API Key와 자격증명 유출로 인한 대형 보안 사고는 이미 여러 차례 발생했습니다.

2023년 한 글로벌 테크 기업의 AI 연구팀은 GitHub에서 AI 모델을 공유하는 과정에서 실수로 38TB에 달하는 내부 데이터를 노출시켰습니다. 문제의 원인은 과도한 권한이 부여된 공유 토큰이었습니다.

한 CI/CD 플랫폼 제공업체는 2023년 초 보안 침해 사고를 겪었고, 고객들에게 저장된 모든 시크릿을 로테이션할 것을 권고해야 했습니다. 공격자가 내부 시스템에 접근해 고객들의 환경변수와 API Key에 접근할 수 있었기 때문입니다.

2022년 한 대형 모빌리티 기업은 해커가 다크웹에서 구입한 것으로 추정되는 자격증명을 통해 내부 시스템에 침투당했습니다. 해커는 MFA를 우회하기 위해 소셜 엔지니어링을 사용했지만, 최초 접근 경로는 유출된 자격증명이었습니다.

이 사례들의 공통점은 무엇일까요? 복잡한 제로데이 취약점 공격이 아니었습니다. 이미 유출되었거나 과도한 권한이 부여된 자격증명이 공격의 시작점이었습니다.

경계 보안의 한계, 내부 모니터링의 필요성

제로 트러스트는 단순한 유행어가 아닙니다. 정당한 접근 권한을 가진 신원으로부터 위협이 올 때, 네트워크 위치와 관계없이 모든 요청을 지속적으로 검증해야 합니다.

결국 사람이든 기계든, '정당한 권한'을 가진 신원에 의한 위협은 전통적인 경계 보안만으로 막을 수 없습니다. 경계 자체가 사라진 환경에서 '외부 침입 차단'에만 집중하는 것은 더 이상 유효한 전략이 아닙니다.

NIST(미국 국립표준기술연구소)의 Zero Trust Architecture(SP 800-207)는 이러한 환경 변화를 반영합니다. "신뢰는 암묵적으로 부여되어서는 안 되며, 모든 접근 요청은 지속적으로 검증되어야 한다"는 원칙입니다. 네트워크 위치가 아니라 신원과 맥락에 기반한 접근 통제가 필요하다는 의미입니다.

이제 보안의 관점을 '내부 이상 행위 탐지'로 확장해야 합니다. 내부 모니터링이 필요한 이유는 명확합니다.

첫째, 권한 있는 접근의 '맥락'을 파악해야 합니다. 단순히 누가 어떤 데이터에 접근했는지가 아니라, 평소와 다른 패턴인지, 업무 시간 외 접근인지, 비정상적으로 대량의 데이터를 조회하는지, 평소 사용하지 않던 API를 호출하는지 등을 분석해야 합니다. 동일한 API Key라도 평소와 다른 지역에서 접속하거나, 이례적인 시간대에 활동하거나, 비정상적인 호출 빈도를 보인다면 이는 유출의 징후일 수 있습니다.

둘째, NHI의 전체 생명주기를 관리해야 합니다. API Key가 언제, 누구에 의해 생성되었고, 현재 어디서 사용되고 있으며, 어떤 권한을 갖고 있고, 더 이상 필요 없는 Key는 무엇인지 지속적으로 추적해야 합니다. 많은 조직에서 수년 전에 생성된 API Key가 과도한 권한을 가진 채 아직도 활성 상태로 방치되어 있습니다. 생성한 개발자는 이미 퇴사했고, 어느 시스템에서 사용하는지 아무도 모르는 '미관리 Key'가 공격자에게는 황금 같은 기회입니다.

‍셋째, 실시간 탐지와 대응 체계를 갖춰야 합니다. 유출이 발생한 후 수개월이 지나서야 알게 되는 것이 아니라, 자격증명이 외부에 노출되는 즉시, 혹은 이상 징후가 포착되는 즉시 알림을 받고 조치를 취할 수 있어야 합니다. 앞서 언급한 IBM 보고서의 292일이라는 탐지 소요 시간을 며칠, 혹은 몇 시간 내로 단축할 수 있다면 피해 규모는 극적으로 줄어들 것입니다.

넷째, 자격증명 노출에 대한 선제적 탐지가 필요합니다. GitHub 같은 공개 저장소, 다크웹, 페이스트빈 등 외부에 우리 조직의 API Key나 자격증명이 노출되었는지 지속적으로 모니터링해야 합니다. 공격자가 이를 악용하기 전에 먼저 발견하고 대응할 수 있어야 합니다.

다섯째, 퇴사자 관련 리스크를 체계적으로 관리해야 합니다. 직원이 퇴사할 때 해당 직원이 생성하거나 접근했던 모든 자격증명을 식별하고, 필요한 조치를 취해야 합니다. 단순히 계정을 비활성화하는 것만으로는 부족합니다. 그 직원이 만들었던 API Key, 서비스 계정, 액세스 토큰 등이 여전히 유효한지 확인하고 로테이션하거나 폐기해야 합니다.

Cremit: NHI 보안의 새로운 접근

Cremit의 Argus 플랫폼은 실시간 유출 탐지부터 생명주기 관리, 퇴사자 리스크 평가까지 포괄적인 NHI 보안을 제공합니다.

이것이 바로 Cremit이 해결하고자 하는 문제입니다.

Cremit의 Argus 플랫폼은 고도화된 탐지 엔진을 기반으로 조직의 NHI를 실시간으로 모니터링하고, 자격증명 유출을 탐지합니다. GitHub, GitLab, Slack, Confluence, Jira 등 개발 및 협업 환경 전반을 통합적으로 스캔하며, 800개 이상의 시크릿 유형을 지원합니다.

Cremit의 고도화된 탐지 엔진은 단순 패턴 매칭을 넘어 맥락 기반 분석을 수행합니다. 실제로 유효한 자격증명인지, 테스트용 더미 데이터인지, 이미 만료된 키인지를 정확하게 구분하여 95% 이상의 오탐을 줄입니다. 보안팀이 수백 건의 오탐 알림에 파묻혀 정작 실제 위협을 놓치는 상황을 방지합니다.

자격증명이 탐지되면 실시간으로 알림을 발송하고, 해당 시크릿의 컨텍스트 정보(생성 시점, 생성자, 사용처, 권한 범위 등)를 함께 제공하여 신속한 대응이 가능하도록 지원합니다. 또한 NHI의 전체 생명주기를 추적하여 미관리 상태로 방치된 Key, 과도한 권한이 부여된 서비스 계정 등 잠재적 위험 요소를 선제적으로 식별합니다.

최근 Cremit은 퇴사자 리스크 관리 기능을 새롭게 업데이트했습니다. HR 시스템과 연동하여 직원 퇴사 시 해당 직원과 연관된 모든 NHI를 자동으로 식별하고, 위험도를 평가하여 필요한 조치를 권고합니다. 퇴사자가 생성했거나 마지막으로 사용한 API Key, 퇴사자만 알고 있던 서비스 계정 등 '미관리' 상태로 전환될 위험이 있는 자격증명을 사전에 파악하고 대응할 수 있습니다.

마무리: 열쇠를 지켜야 문이 안전합니다

문을 아무리 튼튼하게 만들어도, 열쇠가 복제되어 돌아다닌다면 소용없습니다. 이제는 열쇠를 관리할 때입니다.

클라우드와 AI 시대, 보안의 전제가 근본적으로 바뀌었습니다. 더 이상 '안전한 내부'와 '위험한 외부'라는 이분법은 성립하지 않습니다. 해커들은 이미 이 변화를 간파하고 방화벽을 뚫는 대신 열쇠를 사는 전략으로 전환했습니다.

조직 내 수많은 API Key, 서비스 계정, AI 에이전트 등 NHI는 기존 내부자 위협과 동일한, 어쩌면 더 큰 위험을 내포하고 있습니다. 외부 경계를 아무리 철저히 방어해도, 내부에서 정당한 권한으로 움직이는 위협은 막을 수 없습니다.

문을 아무리 튼튼하게 만들어도, 열쇠가 복제되어 돌아다닌다면 소용없습니다. 이제는 열쇠를 관리할 때입니다.

사람과 기계 신원 모두에 대한 가시성 확보와 지속적인 모니터링, 이것이 현대 보안의 필수 요건이 된 이유입니다.

우리 조직의 API Key가 이미 다크웹에서 거래되고 있지는 않을까요?

퇴사한 개발자가 만든 API Key가 아직도 프로덕션에서 작동하고 있지는 않을까요?

Cremit과 함께 NHI 보안 현황을 점검해보세요.

👉 cremit.io에서 무료 데모 신청하기

핵심 요약

• 74% 데이터 유출 사고가 인적 요소와 관련, 자격증명 탈취가 주요 요인 (Verizon DBIR 2024)
• 292일 탈취된 자격증명으로 인한 침해 사고 평균 탐지 소요 시간 (IBM Cost of Data Breach 2024)
• 10-50배 일반적인 기업 환경에서 NHI가 인간 신원보다 많은 비율
• 93% 지난 1년간 신원 관련 침해를 경험한 조직 비율 (CyberArk 2024)
• 1,280만 건 2023년 공개 GitHub 저장소에서 탐지된 새로운 시크릿
• 1,540만 달러 내부자 위협 사고당 평균 비용 (Ponemon Institute 2023)

‍