K8s Secret 누출로 인한 46% 유효 계정 및 730개 프라이빗 저장소 노출 분석

Context

개발자 워크스테이션 및 CI 파이프라인에서 유출된 K8s Credentials가 클러스터 권한 획득의 진입점이 됨. 특히 기본 설정된 JWT의 만료 기한 부재와 과도한 권한 부여로 인해 단순 유출이 전체 인프라 장악으로 이어지는 구조적 취약점 존재.

Technical Solution

• TLS Client Certificate, JWT, Docker config JSON 등 세 가지 주요 Secret 포맷을 통한 공격 표면 분석
• 유출된 JWT를 활용한 Cluster API 접근 및 Namespace 내 모든 Secret Object 덤프를 통한 권한 상승 체인 구축
• OIDC Provider(AWS IAM, Azure AD 등) 연동을 통한 Long-lived Token의 Short-lived Credentials 체계 전환
• API Server의 인터넷 노출 차단 및 네트워크 격리를 통한 외부 접근 벡터 원천 제거
• Service Account의 권한 범위를 Cluster 전체에서 특정 Namespace로 제한하는 Least Privilege 모델 적용
• SIEM 기반의 인증 요청 로깅 및 이상 징후 모니터링 체계 구축을 통한 침해 사고 탐지 속도 개선

Impact

• 분석 대상 Credentials 중 46%가 여전히 유효한 상태로 확인
• 유출된 Secret을 통해 309개 프라이빗 Docker Hub 이미지 및 730개 프라이빗 GitHub 저장소 접근 권한 획득
• 2026년 1분기 기준 GitHub에서 약 2,000건의 K8s Secret 누출 탐지 및 28%의 유효성 확인

Key Takeaway

단일 Credentials 유출이 Registry 및 타 클라우드 리소스까지 확장되는 'Chain Reaction'을 방지하기 위해, 정적 Secret 관리에서 벗어나 ID 기반의 동적 인증 체계로 전환하는 설계가 필수적임.