급변하는 디지털 환경에서 Non-Human Identities(NHI)는 애플리케이션 개발에 점점 더 중요해지고 있습니다. 서비스 계정, API 키 및 기타 비사용자 디지털 ID를 포함하는 NHI는 안전한 기기 간 및 인간-기기 액세스를 가능하게 합니다. 하지만 NHI의 확산은 새로운 보안 과제를 야기합니다. 이러한 위험을 해결하는 데 도움이 되도록 OWASP(Open Web Application Security Project)는 Non-Human-Identities(NHI)와 관련된 가장 중요한 취약점을 설명하는 Top 10 목록을 발표했습니다. 이게시물에서는 OWASP NHI Top 10의 핵심 개념을 살펴보고 이러한 위험을 이해하는 것이 최신 애플리케이션 개발에 필수적인 이유를 설명합니다.
What Are Non-Human Identities?
NHI는 개발자가 애플리케이션을 생성하는 데 도움을 줍니다. 여기에는 서비스 계정, 서비스 주체, IAM 사용자, 역할 및 애플리케이션과 같은 다양한 유형이 포함됩니다. 이러한 ID는 최신 시스템 내에서 안전한 액세스를 가능하게 하는 데 사용됩니다. 마이크로서비스, 타사 솔루션 통합, 클라우드 환경 및 CI/CD 파이프라인의 채택이 증가함에 따라 NHI가 기하급수적으로 증가했으며 현재는 인간 ID보다 20배 더 많습니다. 이러한 대규모 NHI는 광대한 공격 표면을 생성하여 악의적인 행위자의 주요 표적이 됩니다.
OWASP Non-Human Identities Top 10 - 2025
OWASP NHI Top 10은 비인간 ID와 관련된 가장 심각한 보안 위험 및 취약점 목록입니다. 이 목록은 악용 가능성, 확산도, 탐지 가능성 및 영향에 따라 순위가 매겨집니다. 이 프로젝트의 목표는 보안 전문가가 NHI 공격 표면과 시나리오를 더 잘 이해하여 더 효과적으로 보호하고 관리할 수 있도록 돕는 것입니다.
다음은 OWASP NHI Top 10 - 2025에 대한 요약입니다.
- NHI1:2025 - 부적절한 오프보딩: 더 이상 필요하지 않은 경우 서비스 계정 및 액세스 키와 같은 NHI의 부적절한 비활성화 또는 제거를 의미합니다. 연결된 NHI가 적절하게 제거되지 않으면 모니터링되지 않는 서비스를 공격자가 악용할 수 있습니다.
- NHI2:2025 - Secret 유출: 여기에는 소스 코드에 하드 코딩되는 경우와 같이 승인되지 않은 데이터 저장소에서 API 키 및 토큰과 같은 중요한 NHI가 노출되는 것이 포함됩니다. *Cremit에서는 소스코드와 협업도구, 스토리지에서 노출 된 Secret을 효과적으로 찾아내고 제거할 수 있게 도와주고 있습니다.
- NHI3:2025 - 취약한 타사 NHI: 타사 NHI는 개발 워크플로에 광범위하게 통합됩니다. 타사 확장이 손상되면 공격자는 이를 악용하여 자격 증명을 훔치거나 부여된 권한을 오용할 수 있습니다.
- NHI4:2025 - 안전하지 않은 인증: 이는 조직을 심각한 위험에 노출시킬 수 있는 더 이상 사용되지 않거나 취약한 인증 방법을 사용하는 것을 의미합니다.
- NHI5:2025 - 과도한 권한을 가진 NHI: NHI에 필요한 것보다 더 많은 권한이 부여되면 공격자는 과도한 권한을 악용할 수 있습니다.
- NHI6:2025 - 안전하지 않은 클라우드 배포 구성: 여기에는 CI/CD 애플리케이션에서 정적 자격 증명이 노출되는 것이 포함되며, 공격자에게 프로덕션 환경에 대한 지속적인 액세스를 제공할 수 있습니다. *Cremit에서는 CI/CD 파이프라인 내에 노출되는 Secret을 찾아내고 제거할 수 있는 통합 도구를 제공합니다.
- NHI7:2025 - 장기 Secret: 만료되지 않거나 매우 긴 만료 날짜를 가진 Secret을 사용하면 공격자에게 더 긴 기회를 제공합니다.
- NHI8:2025 - 환경 격리: 특히 테스트와 프로덕션 간에 여러 환경에서 동일한 NHI를 재사용하면 심각한 보안 취약점이 발생합니다.
- NHI9:2025 - NHI 재사용: 서로 다른 애플리케이션 및 서비스에서 동일한 NHI를 재사용하면 하나의 NHI가 손상된 경우 공격자가 시스템의 다른 부분에 대한 무단 액세스 권한을 얻을 수 있습니다.
- NHI10:2025 - NHI의 인간 사용: 인간 ID로 수행해야 하는 수동 작업에 NHI를 오용하면 권한 상승 및 감사 부족과 같은 위험이 발생합니다.
OWASP NHI Top 10의 발표가 왜 중요한가요?
OWASP NHI Top 10은 NHI 관리에 따른 위협을 강조하고 있습니다. 사람의 인증정보와 달리 NHI는 종종 중앙 집중식 관리 시스템이 부족하고 개발자가 주로 생성합니다. NHI의 동적 특성으로 인해 기존 IAM 도구로 관리하고 보호하기가 어렵습니다. 관리되지 않는 NHI와 관련된 위험에는 계정 손상, Secret 유출 및 무단 액세스가 포함됩니다. OWASP NHI Top 10에 식별된 위험과 취약점을 이해하는 것은 조직이 NHI를 효과적으로 관리하고 보호하여 침해를 방지하고 애플리케이션의 보안을 보장하는 데 중요한 단계입니다.
프로젝트 기여
OWASP는 NHI Top 10의 개발 및 홍보에 커뮤니티 참여를 장려합니다. 다음과 같은 다양한 방법으로 기여할 수 있습니다.
- 취약점 확산도 데이터 제공
- 목록을 비영어 언어로 번역 *Cremit은 OWASP에 한글 번역을 제공하려고 노력하고 있습니다.
- 검토 및 개선 제안
- 실제 사례 제공
OWASP NHI Top 10은 NHI와 관련된 위험을 이해하고 완화하려는 개발자 및 보안 전문가를 위한 중요한 리소스입니다. 이러한 위험을 인식하고 권장되는 보안 사례를 구현함으로써 조직은 잠재적인 침해로부터 애플리케이션과 데이터를 더 잘 보호할 수 있습니다. 이 목록은 NHI 사용 증가에 직면하여 보안 태세를 강화하려는 모든 조직에 귀중한 통찰력과 실행 가능한 단계를 제공합니다.
NHI, 제대로 관리하고 계신가요?
서비스 계정, API 키, OAuth 토큰 등 NHI는 애플리케이션 개발에 필수적인 요소입니다. 하지만 이러한 NHI가 제대로 관리되지 않으면 악의적인 공격자의 손쉬운 먹잇감이 될 수 있습니다. 실제로, 많은 웹사이트들에서도 Secret Key가 무분별하게 노출되어 있고 이는 큰 위협이 되고 있습니다. OWASP(Open Web Application Security Project)에서 발표한 NHI Top 10은 이러한 위험을 경고하고 있습니다. 부적절한 오프보딩, 비밀 유출, 취약한 타사 NHI, 안전하지 않은 인증 등 다양한 취약점이 여러분의 시스템을 위협하고 있을지도 모릅니다.
�Cremit이 해결해 드립니다!
Cremit 이러한 NHI 관련 보안 위협으로부터 여러분의 시스템을 안전하게 보호하는 데 도움을 드립니다.
Cremit 이러한 NHI 관련 보안 위협으로부터 여러분의 시스템을 안전하게 보호하는 데 도움을 드립니다.
- 숨겨진 Secret을 찾아내는 탁월한 능력: Cremit은 코드, 설정 파일, Git 히스토리 등 다양한 곳에 숨겨진 API 키, 토큰, 자격 증명 등을 찾아내어 유출 위험을 제거합니다.
- 자동화된 스캔으로 시간 절약: 수동으로 NHI를 검사하는 것은 시간이 많이 걸리고 오류가 발생하기 쉽습니다. Cremit 자동화된 스캔을 통해 빠르고 정확하게 취약점을 찾아내어 귀중한 시간을 절약해 드립니다.
- DevSecOps와의 완벽한 통합: Cremit은 CI/CD 파이프라인에 쉽게 통합되어 개발 초기 단계부터 보안 취약점을 파악하고 해결할 수 있도록 지원합니다.
- 맞춤형 솔루션 제공: Cremit은 고객의 환경과 요구사항에 맞는 맞춤형 솔루션을 제공하여 최적의 보안 환경을 구축할 수 있도록 도와드립니다.
더 이상 NHI 보안 문제로 고민하지 마세요. Cremit이 제공하는 데모 체험을 통해 직접 경험하시고, Cremit과 함께 안전한 디지털 세상을 만들어 나가세요!
