Apache Airflow 오픈소스 워크플로우 플랫폼의 설정오류로 인한 자격증명 유출 취약점 분석

Apache Airflow Misconfigurations Leak Login Credentials to Hackers

Apache Airflow Misconfigurations Leak Login Credentials to Hackers

 

• 개요
  • Apache Airflow의 잘못된 설정으로 인해 로그인 자격증명, API 키, 클라우드 서비스 액세스 토큰이 노출되는 심각한 보안 문제가 확인됨
  • 금융, 헬스케어, 전자상거래 등 주요 산업군에서 AWS, Slack, PayPal, 내부 DB 계정 정보 등이 외부에 노출됨
  • CVE-2020-17511 포함 레거시 로깅 취약점 및 암호화 미적용 변수 설정 등 다수의 공격 벡터 존재
• 취약점 발생 원인
  • 하드코딩된 자격증명
    • DAG 스크립트 내부에 데이터베이스 비밀번호 등 자격정보가 직접 하드코딩
    • Airflow의 보안 연결 프레임워크를 우회하여 버전관리 시스템, UI, 로그 등에서 노출
  • 암호화되지 않은 변수 및 메타데이터
    • Variable 및 Connection 객체에 저장된 민감정보가 Fernet 암호화 없이 평문으로 저장
    • Extra 필드에 AWS 키 등을 잘못 저장해 암호화 우회
  • 레거시 로깅 취약점 (CVE-2020-17511)
    • Airflow 1.10.13 이전 버전에서는 CLI 명령 실행 시 비밀번호가 로그에 그대로 기록
    • 로그를 탈취한 공격자는 인증정보를 확보 가능
  • 구성파일 오노출
    • airflow.cfg에서 expose_config = True 설정으로 Fernet 키와 DB URI 등 민감 정보가 공개
    • Fernet 키가 유출되면 전체 변수 및 연결 객체 복호화 가능
• 공격자 접근 가능 자산
  • 클라우드 인프라
    • AWS IAM 자격증명으로 프로덕션 리소스 접근
  • 내부 시스템
    • MySQL, Snowflake, Hadoop 등 내부 DB 시스템 접속 자격
  • 협업 도구
    • Slack 토큰 탈취로 사내 피싱 및 소셜 엔지니어링 캠페인 수행
  • 결제 시스템
    • PayPal API 키를 통한 결제 조작 또는 금융 거래 탈취
  • 공급망 공격
    • Docker 이미지 경로 노출로 악성 컨테이너 이미지 삽입 가능
• 보안 및 규제 위반 영향
  • GDPR, CCPA 등 개인정보보호법 위반으로 최대 연매출 4% 벌금 부과 가능성
  • Colonial Pipeline 사건과 유사하게 자격증명 유출로 인해 랜섬웨어 공격 확대 가능
  • 일부 시스템은 2020년 이후 지원 종료된 구버전 운영 중으로 패치 미적용 위험도 높음
• 보안 권고
  • 버전 업그레이드
    • Airflow 2.0 이상으로 업그레이드하여 REST API 인증 기본 적용 및 로그 보안 강화
  • 네트워크 분리
    • IP 화이트리스트 또는 VPN을 통해 Airflow 인스턴스 외부 접근 제한
  • 비밀정보 관리체계 도입
    • AWS Secrets Manager 또는 HashiCorp Vault 등 외부 Secrets Management 시스템과 통합
  • 코드 리뷰 및 자동 스캔
    • detect-secrets 등의 도구로 하드코딩 자격증명 사전 탐지 및 차단
    • 예시: detect-secrets scan --update .secrets.baseline
• 결론
  • Airflow 설정 오류는 단순한 실수 수준을 넘어서 전사적 정보자산 및 업무 자동화 환경 전체를 위협
  • 조직은 DevSecOps 체계에서 오케스트레이션 플랫폼 보안 점검을 필수 항목으로 포함해야 함
  • 보안 취약한 Airflow 인스턴스는 공격자에 의해 곧바로 악용될 수 있는 구조이므로, 조속한 감시 및 패치 적용이 시급
  • 향후 워크플로우 기반 자동화 확산에 따라 Airflow 보안 취약점은 공급망 공격의 주요 진입점이 될 수 있음