홈디포 GitHub 토큰이 1년간 노출되어 내부 시스템 접근 가능 상태였음

1 month ago 12

한 보안 연구자가 홈디포 직원이 실수로 온라인에 게시한 GitHub 접근 토큰을 발견해, 1년간 내부 시스템이 외부에 노출되어 있었다고 밝힘
해당 토큰은 수백 개의 비공개 소스 코드 저장소에 접근 및 수정 권한을 제공했고, 클라우드 인프라·주문 처리·재고 관리 시스템 등에도 접근 가능했음
연구자는 홈디포에 여러 차례 이메일과 LinkedIn 메시지를 보냈으나 수주간 응답이 없었음
홈디포는 TechCrunch가 연락한 이후에야 노출을 수정하고 토큰 접근을 철회함
홈디포에는 취약점 신고나 버그 바운티 제도가 없어, 이번 사건은 보안 대응 체계 부재의 문제를 드러냄

홈디포 내부 시스템 접근 노출 사건 개요

한 보안 연구자가 홈디포 직원이 온라인에 게시한 비공개 접근 토큰을 발견
- 이 토큰은 2024년 초부터 노출된 것으로 추정됨
- 연구자는 이를 통해 홈디포의 GitHub 저장소 수백 개에 접근 및 수정이 가능함을 확인
노출된 키는 홈디포의 클라우드 인프라, 주문 처리 시스템, 재고 관리 시스템, 코드 개발 파이프라인 등 다양한 내부 시스템 접근을 허용
- 홈디포는 2015년부터 개발 및 엔지니어링 인프라 대부분을 GitHub에 호스팅 중임

연구자의 경고와 회사의 대응

연구자 Ben Zimmermann은 홈디포에 여러 차례 이메일을 보냈으나 수주간 응답이 없었음
- 홈디포의 최고정보보안책임자(CISO) Chris Lanzilotta에게 LinkedIn 메시지를 보냈지만 답변이 없었음
Zimmermann은 최근 몇 달간 다른 기업들의 유사한 노출 사례를 보고했고, 대부분의 기업은 감사의 뜻을 표했음
- 그는 “홈디포만이 나를 무시했다”고 언급

TechCrunch 개입 이후 조치

홈디포에는 취약점 신고나 버그 바운티 프로그램이 존재하지 않음
- 이에 Zimmermann은 TechCrunch에 연락해 문제 해결을 요청
TechCrunch가 12월 5일 홈디포 대변인 George Lane에게 연락하자, 이메일 수신은 확인했으나 이후 추가 질의에는 응답하지 않음
이후 노출된 토큰은 온라인에서 제거되었고, 접근 권한도 TechCrunch의 연락 직후 철회됨

추가 확인 요청 및 미응답

TechCrunch는 홈디포가 로그 등 기술적 수단을 통해 해당 토큰이 다른 사람에 의해 사용되었는지 확인할 수 있는지 문의했으나 답변을 받지 못함
이로 인해 실제 외부 접근 여부나 피해 규모는 확인되지 않은 상태임

사건의 의미

이번 사례는 대형 기업에서도 기초적인 접근 키 관리 실패가 장기간 방치될 수 있음을 보여줌
또한 보안 취약점 신고 체계의 부재가 문제 해결을 지연시킬 수 있음을 드러냄
TechCrunch의 개입 이후에야 조치가 이루어진 점은 외부 감시의 중요성을 부각함

Read Entire Article