[출처=픽사베이]
[출처=픽사베이]

[전국뉴스=이화진 기자] 개발자들이 널리 사용하는 온라인 코드 포맷팅·검증 도구에 민감한 보안 정보가 대거 업로드된 사실이 드러났다.

사이버보안 기업 watchTowr Labs가 JSONformatter, CodeBeautify 등 온라인 개발 도구에서 8만 개 이상의 파일을 수집한 결과, 정부·금융·항공우주·통신 등 핵심 인프라 조직을 포함한 다수 기관의 비밀번호·자격 증명·API 키 등 극도로 민감한 정보가 그대로 노출된 채 저장돼 있었던 것으로 밝혀졌다.

watchTowr는 “민감한 보안 구성 파일에 포함된 자격 증명까지 그대로 노출되고 있었다”며 심각성을 경고했다.

유출 피해 조직의 범위는 놀라울 정도로 넓다.

보안 연구원 제이크 노트(Jake Note)는 The Hacker News와의 인터뷰에서 “이 도구들은 ‘JSON beautify’ 같은 단순 검색어에서도 최상위권에 등장하고, 기업 환경과 개인 프로젝트 모두에서 폭넓게 사용된다”며 위험성을 강조했다.

watchTowr 연구팀은 실제 공격 위험을 검증하기 위해 가짜 AWS 액세스 키를 업로드한 뒤 추적을 진행했다.

그 결과, 불과 48시간 만에 해당 키를 이용한 악의적 접속 시도가 확인됐다.

이는 이미 제3자들이 이 사이트들을 모니터링하며 노출되는 키·자격 증명을 실시간으로 수집하고 있음을 시사한다.

제이크 노트는 “누군가는 이미 이를 악용하고 있다. 이건 정말 어리석고 위험한 행동”이라며 “AI 에이전트 플랫폼보다 더 필요한 건, 무작위 웹사이트에 자격 증명을 붙여넣는 조직이 줄어드는 것”이라고 강하게 비판했다.

The Hacker News가 확인한 바에 따르면 JSONFormatter와 CodeBeautify 측은 현재 저장 기능을 일시 중단하고 “개선 작업 중이며, NSFW(부적절 콘텐츠) 차단 조치도 강화하겠다”고 밝혔다.

watchTowr는 이 조치가 자신들이 지난 9월 피해 조직들과 조율하며 문제를 알린 이후 진행된 것으로 보인다고 덧붙였다.

 

저작권자 © 전국뉴스 무단전재 및 재배포 금지