TerraGoat에서 발견된 173건의 미문서 보안 결함: 표준 IaC 스캐너가 놓치는 점과 포스트‑양자 보안이 중요한 이유
출처: Dev.to
TerraGoat – 표준 취약 Terraform 저장소
TerraGoat은 Bridgecrew(현재 Prisma Cloud)에서 관리하는 표준 취약 Terraform 저장소입니다. 5,000개 이상의 GitHub 스타를 보유하고 있으며 전 세계 보안 팀이 IaC 스캐너 검증 기준점으로 활용하고 있습니다. 전제는 간단합니다: 도구를 TerraGoat에 실행하고, 알려진 취약점 중 몇 개를 잡아내는지 확인하면 됩니다.
문제: “알려진 취약점” 목록이 불완전합니다—설계상의 의도이든 실수이든. 이번 연구는 그 격차를 처음으로 정량화합니다.
방법론
세 가지 도구를 별도로 TerraGoat에 실행했으며, 튜닝이나 커스텀 규칙을 적용하지 않았습니다:
| 도구 | 설명 |
|---|---|
| Checkov | Bridgecrew 공식 스캐너; TerraGoat을 처음 테스트하기 위해 만든 도구. |
| Trivy (Aqua Security) | IaC 지원을 갖춘 업계 표준 오픈소스 취약점 스캐너. |
| pq‑audit | 표준 스캐너가 모델링하지 못하는 암호 노출을 탐지하는 오픈소스 포스트‑양자 암호 감사 프레임워크. |
- 각 도구는 원시 JSON 출력을 생성했습니다.
- 발견 항목은 식별자를 기준으로 중복 제거하고, Bridgecrew 공식 TerraGoat 문서와 교차 검증하여 유지관리자가 인정한 항목과 그렇지 않은 항목을 구분했습니다.
- 원시 데이터, 격차 매트릭스, 도구별 JSON 출력은 연구 저장소에서 확인할 수 있습니다.
결과: 숫자
| 도구 | 발견 항목 | Bridgecrew에 문서화 되었나요? |
|---|---|---|
| Checkov | 56 | 56개 전부가 문서화된 동작과 일치합니다. |
| Trivy | 125 | 전혀 Bridgecrew TerraGoat 문서에 나타나지 않습니다. |
| 문서화되지 않은 총계 | 173 / 243 | 실제 보안 표면의 **≈ 70 %**가 문서화되지 않았습니다. |
시사점: 팀이 “공식” 도구이자 Terraform용 기본 IaC 스캐너인 Checkov를 선택한다면 현재 **23 %**의 노출만 확인하고 있는 것입니다. Checkov가 고장 난 것이 아니라, 문서가 커버하지 않는 부분을 알려주지 않기 때문입니다.
PQC 레이어: 표준 스캐너가 체크하지 않는 것
Checkov와 Trivy 비교 후, pq‑audit를 사용해 암호화 자세에만 초점을 맞춘 두 번째 분석을 수행했습니다.
| 발견 항목 | 설명 |
|---|---|
| BROKEN_NOW | 현재 NIST 가이드라인에 따라 이미 파손된 것으로 간주되는 활성 사용 암호 알고리즘(현 상태 파손). |
| SNDL_VULNERABLE | “지금 수집, 나중에 복호화” 공격에 취약한 구성 – 암호화된 데이터를 오늘 보관하고 양자 컴퓨팅이 충분히 발전하면 나중에 복호화하는 국가 차원의 전술. |
| PQC readiness gaps | IaC에 정의된 암호화 설정에 NIST FIPS 203(ML‑KEM), FIPS 204(ML‑DSA), FIPS 205(SLH‑DSA)로의 마이그레이션 경로가 없음. |
표준 IaC 스캐너는 알려진 CVE와 정책 규칙에 기반한 잘못된 구성을 모델링합니다. 암호 수명이나 양자 시대 위협 노출은 모델링하지 않습니다. 2026년 대부분의 팀에게 이 격차는 눈에 보이지 않습니다.
방법론 주석: TerraGoat에 대한 최초 pq‑audit 실행은 1,122개의 발견을 반환했으며, 거의 전부가 package-lock.json 항목(GAP‑001, v2에서 수정)으로 인한 오탐이었습니다. 의존성 잠금 파일을 제외하고 필터링한 결과 실제 2건만 남았습니다. 이는 1 k 이상의 잡음이 발생하는 도구가 깨끗한 실험실에서도 CI에 유용하지 않다는 것을 보여줍니다; 스캔 범위를 제한함으로써 신호‑대‑잡음 비율을 사용 가능한 수준으로 낮출 수 있었습니다.
- pq‑audit는 오픈 소스입니다:
왜 이 연구가 존재하는가
IaC 보안 도구는 파편화돼 있고 문서는 일관성이 없습니다. 팀은 종종 공급업체 마케팅, 통합 편의성, 혹은 이름 인지도에 따라 스캐너를 선택하지만, 실제 커버리지는 명확히 파악하지 못합니다.
이 연구는 Checkov가 나쁘다거나 Trivy가 더 낫다는 주장이 아닙니다. 두 도구 모두 제 역할을 수행합니다. 핵심은 도구를 비교하려면 완전한 데이터가 필요하고, 그 데이터가 지금까지 공개되지 않았다는 점입니다.
여기서 공개된 격차 매트릭스는 다음에 활용될 수 있습니다:
- 도입 전 스캐너 커버리지를 벤치마크.
- 보안 리더십에게 다중‑도구 전략을 정당화.
- 도구와 무관하게 수동 검토가 필요한 노출 카테고리 식별.
결론
- 잘 알려진, 의도적으로 취약하게 만든 저장소조차도 단일 IaC 스캐너가 전체 발견 표면을 커버하지 못합니다.
- 문서 누락은 도구 누락과 동일하지 않습니다—Trivy는 실제 문제를 찾아냈지만 upstream에 문서화되지 않았을 뿐입니다.
- IaC에서의 포스트‑양자 암호 노출은 현재 세대 스캐너에 보이지 않습니다. 이는 이론적인 미래 문제가 아니라, 장기 보관 데이터에 대한 SNDL 공격이 오늘날에도 활발히 일어나고 있기 때문입니다.
- 심각한 보안 요구사항을 가진 팀에게 다중‑도구 전략은 선택 사항이 아니라 필수입니다.
전체 연구, 원시 데이터, 방법론:
자신의 인프라에서 이러한 문제를 발견했나요?
MK ScorpioSec는 실제 발견을 기반으로 사후 분석 서비스를 제공합니다:
- **Remediation playbooks** – 특정 잘못된 구성에 맞춘 맞춤형 대응 가이드
- **YARA rules** – 활성 악용 패턴 탐지를 위한 규칙
- **Identity hardening** – (Okta, AWS IAM, GCP IAM, Azure AD)
- **Implementation engagement** – + 재검증을 통한 수정 사항 검증
→ [mkscorpiosec.com](https://mkscorpiosec.com/) · [mike@mkscorpiosec.com](mailto:mike@mkscorpiosec.com)
*MK ScorpioSec가 제작 — AI‑네이티브 보안 운영.*