23,000개 기업을 강타한 GitHub 공급망 공격! 이제 당신의 데이터도 안전하다고 할 수 있을까? 😱🌐

작성일자 글쓴이

23,000개 기업이 피해 입은 공급망 공격, GitHub 보안 위협 증가

최근 오픈소스 소프트웨어를 활용하는 기업들에게 경고등이 켜졌습니다. 인기 GitHub 액션 패키지 tj-actions/changed-files가 해커들에게 침해당해 내부 자격 증명(credentials)을 탈취하는 코드가 삽입되는 사고가 발생한 것입니다. 이 공격으로 인해 23,000개 이상의 조직이 영향을 받았으며, 대기업을 포함한 주요 프로젝트도 피해를 입었습니다. 이번 사건의 전말과 보안 조치를 자세히 살펴보겠습니다.

🚨 GitHub 공급망 공격, 어떻게 이루어졌나?

공급망 공격(Supply Chain Attack)은 소프트웨어의 업데이트나 패키지를 조작하여 악성코드를 삽입하는 방식입니다. 이번 공격에서는 tj-actions/changed-files의 유지보수 계정이 해킹되며 시작됐습니다.

문제의 패키지는 CI/CD(연속적 통합 및 배포) 자동화를 지원하는 GitHub 액션의 일부로, 코드 변경 사항을 감지하는 기능을 수행합니다. 하지만 해커는 의도적으로 내부 서버 메모리를 조회하고, 저장된 자격 증명을 외부 로그에 기록하는 악성 기능을 추가했습니다.

이 패키지를 신뢰하고 업데이트한 수천 개의 저장소(repo)는 해당 악성코드를 포함한 CI/CD 프로세스를 실행하면서 민감한 인증 정보(AWS 키, GitHub Personal Access Tokens, RSA 개인 키 등)를 공격자에게 노출했습니다.

💡 GitHub 보안의 취약점과 문제점

분석가들은 GitHub 액션의 보안 구조에서 몇 가지 주요 취약점을 지적합니다.

  1. 태그(tag) 기반 업데이트의 위험성
    많은 개발자들이 특정 커밋 해시(hash)가 아닌 태그 기반으로 외부 액션을 불러옵니다. 이 방식은 개발 편의성을 제공하지만, 악성 코드가 주입될 경우 즉시 영향을 받을 수 있는 위험이 있습니다.

  2. 자동화된 스크립트 실행 허용
    GitHub 액션은 워크플로우 실행 중 코드 변경 및 자격 증명 접근이 가능합니다. 따라서 악의적인 스크립트가 보안 설정 없이 실행될 경우 큰 피해로 이어질 수 있습니다.

  3. 취약점을 방지하지 않는 오픈소스 생태계
    이번 사건처럼 오픈소스 프로젝트 유지보수자가 해킹되면, 신뢰된 패키지에도 악성 코드가 포함될 수 있습니다. 그러나 많은 조직이 이에 대한 사전 검증을 생략하고 있어 피해를 키우는 결과를 초래합니다.

🔍 보안 패치 & GitHub의 대응

GitHub는 문제가 발생한 패키지의 악성코드를 제거하고 주요 계정을 보호하는 보안 조치를 취했습니다. github는 공식 성명을 통해 "현재 GitHub 플랫폼이 직접 해킹된 증거는 발견되지 않았다"고 발표하며, 영향을 받은 계정들의 콘텐츠를 재검토한 후 정리했다고 밝혔습니다.

하지만 전문가들은 이러한 조치만으로 근본적인 문제를 해결할 수 없다고 지적하며, 보안 강화를 위한 추가 조치를 제안하고 있습니다.

⚠️ 개발자와 기업이 취해야 할 보안 조치

  1. GitHub 액션 보안 정책 강화

    • 태그 대신 특정 커밋 해시를 사용하는 것이 안전합니다.
    • 사용 중인 액션의 소스코드를 직접 검토하고, 신뢰할 수 있는 계정만을 활용해야 합니다.

  2. GitHub 시크릿 키(secret) 보호 설정 강화

    • 워크플로우 실행 시 자격 증명을 메모리에 보관하지 않도록 설정해야 합니다.
    • GITHUB_TOKEN을 포함한 민감한 정보를 env 파일에 저장하는 방식은 지양해야 합니다.

  3. 공급망 보안 모니터링 시스템 구축

    • StepSecurity와 같은 이상 탐지 시스템을 적용해 예상치 못한 네트워크 트래픽을 실시간 감지해야 합니다.
    • 비정상적인 동작이 감지될 경우 즉시 CI/CD를 중지하고 시스템을 점검하는 자동화 규칙을 설정해야 합니다.

  4. GitHub의 보안 가이드라인 준수

    • GitHub은 최근 "GitHub Actions 보안 모범 사례" 문서를 발표하여, 액션 사용 시 반드시 검토해야 할 주요 사항을 명시했습니다. 이를 철저히 따르는 것이 중요합니다.

🔮 향후 전망: 오픈소스 보안 문제, 개선될까?

이번 공격은 단순한 해킹 사고가 아니라, 오픈소스 생태계 전반의 구조적 문제를 드러냈습니다. 업계는 CI/CD 보안 강화를 위한 정책 마련을 추진하고 있으며, GitHub을 포함한 플랫폼 제공업체들은 보다 가시성 높은 보안 조치를 추가할 가능성이 큽니다.

하지만 개발자와 기업들이 자발적으로 보안 패턴을 강화하지 않으면, 향후 새로운 공격이 반복될 수 있습니다. 앞으로는 **공급망 보안(Supply Chain Security)**을 최우선으로 고려하는 개발 문화가 정착되어야 할 것입니다.

🚀 이번 사건에 대해 여러분의 생각은 어떠신가요?
🔻 아래 댓글로 의견을 공유해 주세요!

핵심 요약

  • tj-actions/changed-files 악성코드 감염 → 23,000개 이상 조직 피해
  • 해커가 GitHub 액션을 이용해 자격 증명 정보를 탈취
  • GitHub 및 기업들의 공급망 보안 강화 필요
  • 커밋 해시 고정, 자격 증명 보호, 공급망 모니터링 필수!

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다