최근 공개된 오픈소스 도구 '가이거(Geiger)'가 유출된 비밀정보(credential)의 실제 위험도를 즉시 평가하는 새로운 접근 방식을 제시하며 보안 업계의 주목을 받고 있습니다. 기존의 비밀정보 스캐너들이 코드나 파일에서 유출된 키를 찾아내는 데 집중했다면, 가이거는 그 다음 단계로 나아가 해당 키가 현재도 유효한지, 어떤 시스템에 접근할 수 있는지, 그리고 그로 인한 잠재적 피해 범위(blast radius)가 어느 정도인지를 파악하는 데 특화되어 있습니다.
가이거는 텍스트 형태로 입력된 모든 종류의 비밀정보를 분석하여, 각 정보가 접근할 수 있는 자원들을 읽기 전용(read-only) 방식으로 탐색하고 그 위험도를 등급화합니다. 예를 들어, AWS 접근 키가 유출되었을 때, 가이거는 해당 키가 어떤 AWS 서비스에 접근 권한을 가지고 있는지, 어떤 데이터를 읽을 수 있는지 등을 시뮬레이션하여 보여줍니다. 기본적으로는 실제 네트워크 연결 없이 어떤 호출을 할지 보여주는 '드라이런(dry-run)' 모드로 작동하며, `--live` 옵션을 통해 실제 접근을 시도하고 그 결과를 보고합니다. 특히, 데이터베이스, 클러스터 API, 로컬 저장소, 클라우드 비밀 관리자(AWS Secrets Manager, GCP Secret Manager, Azure Key Vault) 등 163가지 이상의 다양한 유형의 비밀정보를 지원하며, SSH 키의 경우 관련 호스트까지 분석합니다.
이 도구는 보안 사고 대응팀에게는 '얼마나 심각한 상황인가?'라는 질문에 대한 답을, 침투 테스터(pentester)에게는 '이 키로 어디까지 접근할 수 있는가?'라는 질문에 대한 답을 제공합니다. 기존 스캐너들이 찾아낸 수많은 유출 정보 중 실제 위협이 되는 것을 선별하고 우선순위를 정하는 데 결정적인 도움을 줍니다. 또한, '크라운 주얼(crown jewel)'과 같은 핵심 자원과 관련된 비밀정보의 위험도를 높게 평가하도록 설정할 수 있어, 조직의 중요도에 맞춰 맞춤형 분석이 가능합니다. 가이거는 클라우드 기반 서비스가 아닌 로컬에서 실행되므로, 민감한 정보가 외부로 유출될 위험 없이 보안 분석을 수행할 수 있다는 장점도 있습니다.