미국 사이버보안 기관 CISA, 공개된 GitHub 저장소에서 자격증명 노출

주요 노출 항목은 다음과 같다.

• 평문 사용자 이름과 비밀번호
• AWS GovCloud 자격증명
• 클라우드 접근 토큰 및 인증 키
• Kubernetes 구성 파일
• ArgoCD 배포 설정 파일
• Entra ID SAML 인증서
• 내부 로그 및 운영 파일

특히 일부 자격증명은 AWS GovCloud의 고권한 계정과 연결된 것으로 알려졌다. AWS GovCloud는 미국 정부 기관과 방위 산업을 위해 별도로 운영되는 클라우드 환경이다.

보안 전문가들은 이러한 정보—특히 클라우드 키와 접근 토큰—가 유효한 상태라면 인프라나 내부 서비스에 직접 접근할 수 있는 위험이 있다고 지적했다.

보안 연구자는 어떻게 발견했나

이 노출은 보안 기업 GitGuardian의 연구원 **기욤 발라동(Guillaume Valadon)**이 발견했다. GitGuardian은 GitHub 같은 공개 코드 저장소에서 비밀 키나 자격증명이 포함된 코드를 자동으로 탐지하는 시스템을 운영한다.

자동 스캔 과정에서 저장소 파일에 포함된 자격증명이 탐지되었고, 회사 측은 먼저 해당 GitHub 계정이나 계약업체에 연락을 시도했다. 그러나 응답이 없었다고 한다.

여러 차례 연락에도 반응이 없자 발라동은 **2026년 5월 15일 사이버보안 기자 브라이언 크렙스(Brian Krebs)**에게 이 사실을 알렸다. 크렙스는 사건을 취재해 관계 기관에 상황을 알리고 공개 보도를 진행했다.

문제가 공개된 이후 저장소는 곧바로 비공개 처리되거나 삭제됐다.

실제로 어떤 위험이 있었나

저장소가 삭제되기 전까지 누구나 접근할 수 있었기 때문에 몇 가지 잠재적 위험이 존재했다.

만약 자격증명이 여전히 유효했다면 다음과 같은 접근이 가능했을 수 있다.

• AWS GovCloud 기반 정부 클라우드 인프라
• CISA 내부 개발 및 배포 시스템
• 인증 및 신원 관리 서비스
• DevOps 파이프라인과 설정 관리 시스템

연구자들은 발견 당시 일부 자격증명이 아직 활성 상태로 보였다고 밝혔다.

다만 공개된 정보만으로는 저장소가 삭제되기 전에 악의적인 사용자가 실제로 접근하거나 공격에 활용했다는 증거는 확인되지 않았다.

CISA의 공식 입장

CISA는 사건을 인정하고 저장소 노출 경위를 조사 중이라고 밝혔다.

언론 보도에 따르면 기관 측은 민감한 데이터가 침해되었다는 증거는 발견되지 않았으며 확인된 해킹이나 시스템 침해도 없다고 설명했다.

또한 향후 유사한 노출을 방지하기 위한 조치를 검토하고 있다고 밝혔다.

이 사건은 미 의회에서도 관심을 끌어 일부 의원들이 어떻게 자격증명이 공개 저장소에 올라갔는지와 연방 시스템 위험 여부에 대한 브리핑을 요구한 것으로 알려졌다.

왜 더 큰 논란이 되었나

이번 사건이 특히 주목받은 이유는 CISA의 역할 자체 때문이다.

CISA는 미국 정부에서 다음과 같은 보안 모범 사례를 기관과 기업에 권고하는 조직이다.

• 자격증명 관리 및 비밀정보 보호
• 안전한 DevOps 운영
• 공개 저장소에서 민감 정보 노출 방지

그런 기관과 관련된 자격증명이 공개 GitHub 저장소에 남겨져 있었다는 사실은, 기관이 다른 조직에 경고해 온 바로 그 유형의 실수가 실제로 발생했음을 보여줬다는 점에서 큰 비판을 받았다.

사건이 남긴 교훈

이 사건은 소프트웨어 업계에서 흔히 발생하는 문제를 다시 보여준다. 개발자가 실수로 비밀번호나 API 키가 포함된 파일을 버전 관리 시스템에 커밋하면 공개 저장소를 통해 쉽게 노출될 수 있기 때문이다.

현재는 많은 보안 도구가 GitHub 같은 플랫폼을 자동으로 스캔해 노출된 자격증명을 찾아내고 있다. 이번 사건도 이러한 자동 탐지 덕분에 발견돼 더 큰 피해를 막을 수 있었다.

그럼에도 불구하고 이번 사례는 단 하나의 잘못된 저장소 설정만으로도 정부나 대기업 인프라 접근 권한이 노출될 수 있다는 현실적인 위험을 보여주는 사건으로 평가된다.