개인정보 보호위원회

- 최근 자격증명 노출로 인한 개인정보 유출 사고 증가, 안전한 계정·권한관리 중요

- 깃허브(GitHub) 등 개발 협업도구에 접근키, 비밀번호, API 토큰 등 자격증명을 저장하지 않도록 관리 필요

  개인정보보호위원회(위원장 송경희, 이하 ‘개인정보위’)는 클라우드 기반 서비스와 소프트웨어 개발 협업 환경이 확대됨에 따라 접근키(Access Key), 인증토큰, API 키 등 자격증명 정보의 중요성이 더욱 커지고 있다고 밝혔다. 

  최근 국내외에서 개발 협업도구와 클라우드 환경에 저장된 자격증명이 외부에 노출되거나 탈취되어 개인정보가 유출되는 사고가 잇따라 발생하고 있다. 특히, 개발 과정에서 사용되는 자격증명이 소스코드 저장소나 협업도구에 노출될 경우 개인정보처리시스템, 데이터베이스, 클라우드 서비스 등에 대한 무단 접근으로 이어져 대규모 개인정보 유출이 발생할 수 있어 사업자의 각별한 주의가 요구된다.

  깃허브(GitHub)* 등 개발 협업도구에 저장된 소스코드에서 클라우드 접근키 또는 API키와 같은 자격증명이 노출되는 사례가 확인되고 있다. 개발자가 관리 편의를 위해 소스코드에 자격증명 정보를 저장하는 경우, 공격자가 이를 악용하여 개인정보처리시스템에 접근할 수 있으므로 안전한 관리가 필요하다. 



  * 소프트웨어 코드 검토·배포, 프로젝트 공유 등 서비스 개발 관련 업무 협업도구