Bitwarden CLI, 공급망 공격으로 침해 당해

신뢰받는 도구가 위협 벡터가 되다

보안 회사 Checkmarx 침해로 시작된 공급망 공격이 그 범위를 넓히고 있으며, 연구원들은 4월 27일 Bitwarden의 명령줄 인터페이스(CLI) 도구도 침해되었음을 확인했습니다. 이 공격은 TeamPCP라는 그룹의 소행으로 알려졌으며, 1,000만 명 이상의 사용자와 50,000개 이상의 기업이 자격 증명 도용 및 민감한 데이터 노출 위험에 처하게 되었습니다.

이 사건이 특히 우려스러운 것은 단순히 규모 때문만이 아닙니다. 바로 공격 대상 때문입니다. Bitwarden은 프라이버시를 중시하는 개인 사용자와 보안 전문가 모두에게 널리 신뢰받는 비밀번호 관리자입니다. CLI 버전은 특히 자동화된 워크플로우와 스크립트에 비밀번호 관리를 통합하는 개발자들 사이에서 인기가 높습니다. 해당 도구가 침해되었다는 것은, 공격자들이 조직 인프라의 가장 민감한 부분을 통해 흐르는 자격 증명에 접근했을 가능성이 있다는 것을 의미합니다.

TeamPCP는 탈취한 데이터를 이용해 후속 랜섬웨어 캠페인을 감행하겠다고 위협한 것으로 알려져 있어, 이 사건은 아직 끝나지 않았을 수 있습니다.

공급망 공격의 작동 방식

공급망 공격은 여러분을 직접 겨냥하지 않습니다. 대신, 여러분이 신뢰하고 매일 사용하는 소프트웨어나 서비스를 표적으로 삼습니다. 이번 경우, 공격자들은 먼저 잘 알려진 애플리케이션 보안 회사인 Checkmarx를 침해했습니다. 그런 다음 거기서부터 Bitwarden의 CLI 도구로 영향력을 확장할 수 있었습니다.

이 접근 방식은 신뢰를 악용하기 때문에 치명적으로 효과적입니다. 여러분이 믿고 사용하는 벤더의 도구를 설치할 때, 여러분은 암묵적으로 그 벤더의 개발 및 배포 파이프라인 전체를 신뢰하는 것입니다. 그 사슬의 어느 한 연결 고리라도 침해된다면, 악성 코드나 접근 권한이 아무런 명백한 경고 없이 곧바로 여러분에게 흘러들어올 수 있습니다.

개발자들은 이러한 시나리오에서 특히 높은 가치를 지닌 표적입니다. 그들은 일반적으로 상승된 시스템 권한, 소스 코드 저장소 접근 권한, 클라우드 인프라 자격 증명, 그리고 API 키를 보유하고 있습니다. 개발자의 일상적인 워크플로우에 포함된 도구를 침해하면 공격자들은 조직 전체에 걸쳐 광범위한 접근 권한을 얻을 수 있습니다.

여러분에게 미치는 영향

Bitwarden의 CLI 도구를, 특히 자동화되거나 스크립트화된 환경에서 사용하고 있다면, 해당 도구를 통해 전달된 모든 자격 증명을 잠재적으로 침해된 것으로 간주해야 합니다. 이는 비밀번호를 교체하고, API 키를 폐기하며, 비정상적인 활동을 파악하기 위해 접근 로그를 감사해야 한다는 것을 의미합니다.

하지만 이 사건은 대부분의 사람들이 자신의 보안 상태를 생각하는 방식에 대한 더 넓은 교훈도 담고 있습니다. 많은 사용자와 기업들조차 프라이버시와 보안을 지탱하기 위해 소수의 도구에 의존합니다. 네트워크 프라이버시를 위한 VPN, 자격 증명 안전을 위한 비밀번호 관리자, 그리고 주요 계정에 대한 이중 인증이 그 예입니다. 이번 공격은 그러한 핵심 도구들조차 훼손될 수 있음을 보여줍니다.

예를 들어, VPN은 네트워크 트래픽을 가로채기로부터 보호합니다. 하지만 VPN 자격 증명을 저장하는 데 사용하는 비밀번호 관리자 자체가 침해된다면 VPN은 여러분을 보호할 수 없습니다. 바로 이것이 보안 전문가들이 심층 방어(defense-in-depth)에 대해 이야기하는 이유입니다. 어느 하나의 실패가 전면적인 노출로 이어지지 않도록 여러 개의 독립적인 통제 수단을 겹겹이 쌓는 것입니다.

이번 사건을 고려하여 전반적인 보안 태세를 강화하기 위한 실질적인 조치들은 다음과 같습니다:

• 자격 증명을 즉시 교체하세요 — 자동화된 워크플로우나 스크립트에서 Bitwarden CLI를 사용한 경우
• 비밀번호 관리자 계정에 하드웨어 보안 키 또는 앱 기반 이중 인증을 활성화하세요 — SMS 기반 코드만으로는 충분하지 않습니다
• 워크플로우에서 자격 증명이나 인프라에 대한 권한 있는 접근 권한을 가진 도구를 감사하고, 해당 도구들이 여전히 필요한지 검토하세요
• 의존하는 도구들의 벤더 보안 권고 사항을 모니터링하고, 보안 회사 침해를 자신의 노출을 검토해야 할 신호로 받아들이세요
• 민감한 자격 증명을 분리하여 한 영역의 침해가 공격자에게 모든 것에 대한 열쇠를 넘겨주지 않도록 하세요

심층 방어는 선택이 아닙니다

Bitwarden CLI 공급망 공격은 아무리 명성이 높은 단일 도구라도 무조건적인 안전 보장으로 취급될 수 없다는 것을 상기시켜 줍니다. Checkmarx는 보안 회사입니다. Bitwarden은 보안 도구입니다. 두 가지 모두 공격자들이 성공적으로 악용한 사슬의 일부였습니다.

이것이 비밀번호 관리자를 포기하거나 개발자 보안 도구 사용을 중단해야 한다는 의미는 아닙니다. 그것은 개별 구성 요소가 언젠가 실패할 수 있다는 가정 하에 보안 전략을 구축해야 한다는 것을 의미합니다. 계정 전반에 걸쳐 강력하고 고유한 자격 증명을 사용하세요. 인증 방법을 겹겹이 쌓으세요. 사용 중인 벤더가 사고를 보고할 때 정보를 유지하세요.

목표는 불가능한 완벽한 보안을 달성하는 것이 아닙니다. 목표는 한 계층이 실패했을 때 다음 계층이 이미 준비되어 있도록 하는 것입니다. 오늘 현재 설정을, 특히 자격 증명을 처리하는 자동화된 워크플로우를 검토하고, 신뢰하는 도구 중 하나가 여러분을 향해 돌려진다면 공격자가 무엇에 접근할 수 있을지 스스로에게 물어보세요.