깃허브 접속 권한 정보 다수 유출…경찰청, 기업에 긴급 점검 권고
경찰청 국가수사본부는 소프트웨어 개발 플랫폼 깃허브(GitHub)의 접속 권한 정보가 다수 유출된 사실을 확인해 수사하고 있다고 14일 밝혔다.
유출된 정보는 깃허브의 비공개 저장소에 접근할 때 사용하는 인증 수단인 개인 액세스 토큰(PAT)이다. 개인 액세스 토큰은 비밀번호 대신 깃허브 계정과 저장소에 접근할 수 있도록 발급하는 인증정보다. 공격자가 유출된 토큰을 확보하면 이용자의 권한 범위 안에서 비공개 저장소에 접근할 수 있다. 저장소에 내부 시스템의 주소나 계정정보, 인증키 등이 포함돼 있다면 이를 이용해 기업 시스템에 침입할 가능성도 있다.
경찰청은 추가 피해를 막기 위해 깃허브를 이용하는 기업과 개인 개발자에게 사이버 보안 권고문을 배포했다.
먼저 최근 1~3개월 동안 깃허브 계정과 비공개 저장소에 비정상적인 접속 기록이 있었는지 확인하도록 했다. 침해 정황이 확인되면 기존 개인 액세스 토큰을 즉시 폐기하고 새로 발급해야 한다.
계정에는 2단계 인증을 적용하고 개인 액세스 토큰의 권한과 유효기간을 업무에 필요한 수준으로 제한해야 한다. 사용하지 않는 토큰과 계정 권한도 삭제하도록 권고했다.
경찰청은 소스 코드에 비밀번호와 토큰, 인증키 등 주요 시스템의 인증정보를 저장하지 말라고 당부했다. 소스 코드에 포함된 인증정보를 탐지하는 비밀정보 스캐닝(Secret Scanning)과 외부 전송을 차단하는 푸시 보호(Push Protection) 기능도 활성화해야 한다.
허용한 IP에서만 저장소에 접근할 수 있도록 IP 허용 목록을 설정하고 개발자 PC와 개발 도구의 확장 프로그램도 점검해야 한다. 피싱이나 악성코드, 악성 확장 프로그램을 통해 토큰이 빠져나갈 수 있기 때문이다.
경찰청은 유출된 토큰 이용자와 깃허브 측에 보안 조치를 요청했다. 깃허브는 해당 토큰을 폐기하고 이용자들에게 경보를 발송했다고 경찰에 알렸다.
경찰청은 추가 위협 정보를 확인하면 관계 기관과 기업에 공유할 계획이다. 유사 공격에 대응하기 위한 민·관 협력체계도 강화한다.
박우현 경찰청 사이버수사심의관은 “공격자들이 기업의 정보통신망뿐 아니라 소프트웨어 개발 기반까지 공격 대상으로 삼고 있다는 점이 확인된 사례”라며 “기업과 개인 개발자는 신속하게 보안 조치를 해야 한다”고 말했다. 이어 “범죄 피해가 발생했거나 의심 징후를 발견하면 즉시 신고해 달라”고 당부했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network



