이번 보안 사고 보고서에 따르면, RubyGems.org의 AWS 루트 접근 사건은 퇴사자의 프로덕션 호스팅 자격 증명 관리 절차상 허점으로 인해 발생한 것으로 확인되었습니다. RubyGems.org는 현재 모든 서비스가 안정적이고 안전하게 운영되고 있음을 강조하며, 사고를 계기로 드러난 자격 증명 관리의 약점을 즉시 개선했습니다.
보안 강화 조치
-
자격 증명 순환 및 MFA 적용: 모든 자격 증명이 재설정되었고, 다단계 인증(MFA)이 추가로 적용되어 보안이 강화되었습니다.
-
운영 인력 확충: 온콜 로테이션에 두 명의 새로운 관리자를 추가하여 시스템 복원력과 대응 역량을 향상시켰습니다.
커뮤니티 참여 및 투명성 강화 노력
-
자원봉사 지원 프로그램: Ruby Central은 운영 복원력을 더욱 강화하기 위해 신뢰할 수 있는 개인 및 기업의 구조화된 자원봉사 지원을 통해 커뮤니티 참여 기회를 확대하고 있습니다. 특히, Ruby Central의 기업 기여자 관리 프로그램(Corporate Contributor Stewardship Program)을 통해 기업들은 RubyGems, Bundler, RubyGems.org 전반의 우선순위 유지보수, 안정성, 보안 작업에 엔지니어링 시간을 기부할 수 있습니다.
-
정보 공개: 커뮤니티 채널에서 표출되는 불만, 회의론, 피로감 등의 강한 감정들을 인지하고 있으며, 정확한 맥락과 명확성을 제공하기 위해 해당 개인에게 RubyGems.org 프로덕션 접근 권한이 종료되었음을 알리는 원래 통신 내용 전체를 공개할 예정입니다. 또한, 유료 계약자 전환 기간으로 인한 불확실성과 우려를 인정하고 있습니다.
라이브 Q&A 지연 사유
-
초기 정보 불완전성: 사고 발견 및 검증 단계에서는 많은 변동 사항과 활발한 검증 절차가 진행 중이었으므로, 당시 라이브 Q&A는 불완전한 정보 확산의 위험이 있었습니다.
-
Bundler 상표권 분쟁: 9월 26일 금요일, Ruby Central은 Andre Arko의 변호사로부터 그가 “Bundler” 상표권을 소유하고 있다고 주장하며 Ruby Central에 Bundler 사용 중단을 요구하는 중단 서한(cease-and-desist letter)을 받았습니다. Ruby Central은 Arko의 주장에 동의하지 않으며, 상표권 법률 고문과 협력 중입니다. 법적 절차의 일환으로, 이 문제가 완전히 해결될 때까지 Bundler 관련 추가적인 공개 언급은 하지 않을 예정입니다.
-
이러한 법적 문제와 보안 사고 대응이 동시에 진행되면서 Q&A 재조정이 지연되었습니다. Ruby Central은 비동기식 주간 업데이트 및 공개 Q&A 형식을 선택하여, 질문에 공개적으로 답변하고 모든 사람이 시간과 장소에 관계없이 동일하게 검증된 정보를 검토할 수 있도록 하고 있습니다.