세미콜론 하나에 뚫린 깃허브... AI가 찾아낸 역대급 RCE 취약점

[보안뉴스 김형근 기자] 깃허브(GitHub)의 내부 자산 관리 인프라에서 수백만 개의 비공개 저장소를 무자비하게 탈취할 수 있는 치명적 RCE 취약점(CVE-2026-3854)이 발견됐다.

이번 결함은 보안기업 위즈(Wiz) 연구진이 AI 도구를 활용해 폐쇄형 소스인 이진(Binary) 파일을 정밀히 분석하는 과정에서 그 민낯을 드러냈다.

[자료: gettyimagesbank]

원인은 내부 프록시 서버가 사용자 입력값 중 세미콜론(;)을 제대로 거르지 못하는 보안 허점(CWE-77)에 있었던 것으로 드러났다.

공격자들의 활성무대는 세계 개발자들의 코드 저장소인 깃허브였다. 이들은 개발자가 코드를 서버로 전송할 때 사용하는 ‘깃 푸시’(git push) 명령어 뒤에 단순히 세미콜론 하나를 섞어 넣는 수법을 썼다.

이 작은 기호 하나로 서버의 철통 보안을 무력화하고 핵심 설정 필드를 조작하며 안보 파산을 유도한 것이다.

연구진은 샌드박스를 우회하고 실행 경로를 조작한 뒤, 관리자 권한 없이도 서버에서 임의의 명령을 실행하는 공격 체인을 상공적으로 완성했다.

특히 깃허브 엔터프라이즈 서버(GHES)의 경우, 이 취약점을 통해 서버의 모든 데이터와 내부 비밀 정보에 대한 전권 장악이 가능했다.

깃허브닷컴의 공유 인프라 역시 플래그 조작 한 번에 타인의 저장소 파일 시스템에 접근할 수 있는 안보 파산 위기에 노출됐다.

깃허브는 보고를 받은 당일 6시간 만에 지체 없이 긴급 패치를 적용했으나, GHES 사용자 중 88%는 여전히 무방비 상태로 남아있다.

이번 사건은 AI를 활용한 리버스 엔지니어링이 사람이 수동으로 찾기 힘든 중대한 구멍을 얼마나 정밀하게 잡아낼 수 있는지를 증명했다.

GHES 관리자들은 즉각 최신 버전으로 업데이트를 단행하고, 감사 로그를 뒤져 과거의 침입 흔적을 조사해야 한다.