깃허브 접속 토큰 다수 유출 확인… 경찰청 “즉시 재발급 권고”
소스 코드 속 DB 비밀번호·클라우드 키도 교체
국내외 기업과 개인 개발자가 널리 사용하는 깃허브(GitHub)의 유효한 개인 액세스 토큰(PAT)이 다수 유출된 것으로 확인됐다. 공격자가 이를 이용하면 비공개 저장소의 소스 코드를 열람하거나 변경할 수 있다. 침해 흔적이 없더라도 기존 토큰을 폐기하고 새로 발급하는 선제 조치가 필요하다.

경찰은 최근 발생한 깃허브 접속 권한 유출 사건 수사 과정에서 현재 사용할 수 있는 PAT가 외부에 유출된 사실을 확인했다고 설명했다. 다만 구체적인 유출 규모와 경로는 공개하지 않았다.
PAT는 비밀번호 대신 깃허브 저장소와 기능에 접근할 때 사용하는 인증 수단이다. 공격자가 유효한 토큰을 확보하면 피해자 권한으로 비공개 저장소에 접근해 소스 코드를 열람하거나 복제할 수 있다.
깃허브에 올라간 소스 코드에 데이터베이스(DB) 비밀번호와 클라우드 액세스 키, 응용프로그램 인터페이스(API) 키 등이 담겨 있다면 피해가 기업 내부 시스템 침입으로 이어질 수 있다. 개인정보나 기업 기밀이 유출될 가능성도 있다. 쓰기 권한이 있는 PAT가 유출된 경우에는 공격자가 악성 코드를 저장소에 푸시할 가능성도 있다. 변조된 코드가 별도 검증 없이 빌드·배포되면 고객사와 이용자까지 피해가 번질 수 있다.
경찰청은 비공개 저장소를 사용하는 기업과 개인에게 최근 1~3개월간 감사·보안 로그를 확인하라고 안내했다. 평소 사용하지 않던 국내외 인터넷주소(IP)에서 접속했거나 업무 외 시간에 소스 코드가 복제·변경된 이력이 있는지 살펴봐야 한다. 짧은 시간에 다수 저장소를 열람하거나 복제한 기록도 주요 점검 대상이다.
의심스러운 접근이 발견되면 기존 PAT를 즉시 폐기하고 다시 발급해야 한다. 저장소의 소스 코드에 DB 비밀번호와 아마존웹서비스(AWS)·마이크로소프트 애저·구글 클라우드 접속 키, API 키를 기록했다면 해당 정보도 모두 무효화하고 교체해야 한다. 경찰청은 별다른 침해 흔적이 없더라도 예방 차원에서 PAT를 재발급하라고 권고했다.
경찰청은 추가 피해를 예방하기 위한 보안 조치로 ▲2단계 인증 적용 ▲PAT 접근 권한 최소화·세분화 ▲소스 코드 내 인증정보 직접 입력 금지 ▲비밀정보 스캐닝과 푸시 보호 활성화 ▲접속 허용 IP 설정 등을 제시했다. 악성 확장 프로그램과 피싱, 악성코드를 통한 토큰 유출에 대비해 개발자 PC와 비주얼 스튜디오 코드(VS Code) 등 개발 도구의 확장 프로그램도 주기적으로 점검해야 한다.
경찰은 유출된 PAT 사용자와 깃허브 측에 관련 사실을 통보했으며, 깃허브는 해당 토큰을 폐기하고 이용자에게 경보를 보낸 것으로 전해졌다.
박우현 경찰청 사이버수사심의관은 "공격자들이 기업 정보통신망뿐 아니라 개발 환경도 공격 대상으로 삼은 사례다"며 "범죄 피해가 발생했거나 의심 징후를 발견하면 즉시 신고해 달라"고 말했다.
한편 깃허브도 지난 5월 해킹을 당했다. 직원 PC가 악성 비주얼 스튜디오 코드 확장 프로그램에 감염되면서 공격자가 내부 저장소에 무단 접근했다. 공격자는 내부 저장소 3800개가량을 빼냈다고 주장했으며, 깃허브는 이 수치가 자체 조사 결과와 대체로 일치한다고 밝혔다. 다만 고객이 운영하는 기업·조직·저장소가 영향을 받았다는 증거는 확인되지 않았다.
국내에서는 데이원컴퍼니가 지난 6월 개인정보 유출 사고의 침입 경로로 깃허브 계정 키 탈취를 지목했다. 회사는 깃허브 마스터 계정 키가 불상의 시점에 탈취됐으며, 공격자가 이를 이용해 5월 9일 사내 서비스에 처음 침입했다고 이용자에게 고지했다.
정종길 기자
jk2@chosunbiz.com
Copyright © IT조선. 무단전재 및 재배포 금지.