AI 모델 키 4,000개 노출…기업 내부 시스템까지 접근 가능
길민권 기자 작성 2025.12.12 15:39 (mkgil@dailysecu.com)
전 세계 개발자들이 가장 많이 활용하는 컨테이너 저장소 도커허브(Docker Hub)에서 1만 개가 넘는 이미지에서 민감한 인증정보가 그대로 노출된 사실이 확인됐다. 노출된 정보에는 실제 운영환경에 접속 가능한 로그인 정보, CI/CD 데이터베이스 접근키, 그리고 LLM 모델 키까지 포함돼 있어 관련 기업들의 보안 리스크가 심각한 수준으로 평가되고 있다.
이번 조사 결과는 위협 인텔리전스 기업 플레어(Flare)가 11월 한 달간 도커허브에 업로드된 이미지를 스캔해 발표한 보고서를 통해 공개됐다. 플레어는 총 10,456개 이미지에서 하나 이상의 인증정보(secret)가 포함돼 있었다고 밝혔다.
■AI 모델 키 4,000개 노출…기업 내부 시스템까지 접근 가능
보고서에 따르면 가장 많이 발견된 민감 정보는 다양한 AI 모델 액세스 토큰(OpenAI·오픈AI, HuggingFace·허깅페이스, Anthropic·앤트로픽, Gemini·제미니, Groq·그록 등)이었다. 연구팀은 무려 4,000개 이상의 AI 모델 키가 이미지 내부에 포함돼 있었다고 설명했다.
더 심각한 문제는 이 중 42%의 이미지에서 최소 5개 이상의 중요한 인증정보가 동시에 노출됐다는 점이다. 플레어는 “여러 개의 비밀 값이 함께 노출된 경우, 클라우드 환경 전체는 물론 Git 저장소, CI/CD 시스템, 결제 연동 시스템 등 핵심 인프라로의 완전한 접근을 허용하는 위험이 발생한다”고 경고했다.
■100여 개 기업 영향…금융·AI 기업까지 포함
플레어는 이번 조사에서 205개 네임스페이스(namespace)를 분석한 결과, 총 101개 기업이 보안 위험에 노출된 것으로 파악됐다. 대부분은 소프트웨어 개발 기업이었지만, 포춘 500 대기업과 한 국가의 주요 은행도 포함돼 있었다.
산업군별로는 소프트웨어 개발사, 마켓 및 산업용 솔루션 기업, AI 및 지능형 시스템 분야 기업 순으로 많이 노출됐으며, 10곳 이상의 금융기관에서도 민감정보가 발견됐다.
■가장 흔한 원인은 .env 파일과 하드코딩 된 토큰
이번 유출의 핵심 원인은 개발자들이 흔히 사용하는 .env 파일이었다. 이 파일에는 데이터베이스 접근정보, 클라우드 인증키, API 토큰 등이 저장되는데, 이를 이미지 내부에 포함한 채 그대로 업로드한 사례가 속출했다.
또한 파이선 소스코드나 config.json, YAML 설정 파일, 깃허브 토큰 등에서도 하드코딩된 인증정보가 대량 발견됐다. 일부 이미지에서는 도커 이미지 메니페스트 파일에도 인증 정보가 포함돼 있었다.
플레어는 이러한 문제의 상당수가 기업의 통제 밖에서 운영되는 ‘섀도우 IT’ 계정에서 발생한다고 분석했다. 개인용 계정, 외주 개발자 계정 등 회사의 보안감시 체계를 벗어난 계정에서 이미지가 관리되며 관리 사각지대가 생긴 것이다.
■비밀값 삭제해도 75%는 키 미회수…공격에 악용될 가능성 높아
플레어는 노출 사실을 인지한 개발자 중 약 25%는 48시간 이내에 이미지를 수정해 비밀값을 삭제했지만, 문제는 이들 중 75%가 해당 키를 폐기하지 않았다는 점이라고 강조했다.
즉, 노출 당시 공격자가 인증정보를 탈취했다면, 이미지가 수정된 이후에도 그대로 악용할 수 있다는 의미다.
플레어는 “노출된 키를 회수하지 않으면 시간이 지난 뒤에도 공격자가 시스템에 침투해 내부망을 장악할 수 있다”고 경고했다.
전문가들은 도커 이미지의 비밀값 노출이 단순한 개발 실수처럼 보일 수 있으나, 실제로는 기업 내 핵심 인프라 전체가 공격자에게 개방되는 수준의 치명적 리스크라고 지적했다. 특히 AI 모델 키와 클라우드 접근키가 함께 노출될 경우, 공격자는 내부 시스템을 탐색하고 추가 공격을 자동화할 수 있어 피해가 기하급수적으로 확산될 가능성이 크다.
또한 장기 인증키를 계속 사용하는 관행은 “공격자가 가장 좋아하는 취약점”이라는 점도 강조됐다. 전문가들은 기업들이 비밀값 관리 체계의 표준화를 서두르고, 개인 계정 기반의 섀도우 IT를 적극적으로 통제해야 한다고 조언했다.