최근 1~3개월간 비정상 접속·코드 복제 이력 점검 권고
|
경찰청 국가수사본부는 최근 수사 과정에서 유효한 깃허브 개인 액세스 토큰(PAT·Personal Access Token)이 외부로 유출된 사실을 확인해 기업과 개인 개발자를 대상으로 사이버 보안 권고문을 배포했다고 14일 밝혔다.
PAT는 사용자가 깃허브 비공개 저장소에 접근할 때 사용하는 인증 수단이다. 공격자가 유출된 PAT를 악용하면 비공개 저장소의 소스 코드를 열람하거나 내려받을 수 있다. 이 과정에서 데이터베이스 비밀번호나 클라우드 서비스 접속키, 응용프로그램 인터페이스(API) 키 등을 확보해 기업 내부 시스템에 침입할 가능성이 있다.
경찰은 깃허브 비공개 저장소를 사용하는 기업과 개인에게 최근 1∼3개월간 접속 기록을 우선 점검하라고 당부했다. 평소 사용하지 않던 국내외 인터넷주소(IP)를 통한 접근이나 업무 외 시간대 소스 코드 다운로드·변경, 짧은 시간 안에 다수의 저장소를 열람하거나 복제한 기록 등이 주요 점검 대상이다.
침해 정황이나 의심스러운 접근 흔적이 확인되면 기존 PAT를 즉시 폐기하고 새로 발급받아야 한다. 경찰은 별다른 침해 흔적이 발견되지 않더라도 예방 차원에서 기존 PAT를 교체할 것을 권고했다. 소스 코드에 저장했던 데이터베이스 비밀번호와 아마존웹서비스(AWS)·애저(Azure)·구글클라우드플랫폼(GCP) 접속키 등도 함께 무효화해야 한다.
추가 피해를 막기 위해서는 2단계 인증을 적용하고 PAT가 접근할 수 있는 저장소와 권한을 최소한으로 설정해야 한다. 주요 시스템의 접속 정보를 소스 코드에 평문으로 입력하는 '하드코딩'을 금지하고 별도의 비밀정보 관리 서비스를 활용하는 조치도 필요하다.
경찰은 소스 코드에 인증 정보가 포함되는 것을 탐지·차단하는 '시크릿 스캐닝'과 '푸시 보호' 기능을 활성화하고, 허용된 IP에서만 저장소에 접근하도록 설정할 것을 주문했다. 악성 확장 프로그램이나 피싱·악성코드를 통해 PAT가 유출될 수 있는 만큼 개발자 PC와 개발 도구의 확장 프로그램도 주기적으로 점검해야 한다고 강조했다.
경찰은 현재 PAT 유출 경위와 관련 범죄에 대한 수사를 진행하고 있다. 유출된 토큰 이용자와 깃허브 측에도 보안 조치를 요청했으며, 깃허브는 해당 토큰을 폐기하고 이용자들에게 경보를 전달한 것으로 전해졌다.
박우현 경찰청 사이버수사심의관은 "공격자들이 기업 정보통신망뿐 아니라 소프트웨어 개발 기반까지 공격 대상으로 삼은 사례"라며 "기업과 개인 개발자는 신속하게 보안 조치를 하고 범죄 피해나 의심 징후가 발견되면 즉시 신고해 달라"고 말했다.










