악성 VS Code 확장 프로그램으로 시작된 GitHub 해킹, 내부 저장소 3,800개 유출

GitHub는 사건을 탐지한 뒤 즉시 확장을 제거하고 침해된 장비를 격리했으며 내부 보안 조사를 진행 중이라고 밝혔다.

현재까지 회사 측 분석에 따르면 공격 활동은 GitHub 내부 저장소 유출에 한정된 것으로 보인다.

고객 데이터 영향 여부

GitHub는 공식 발표에서 고객 데이터가 영향을 받았다는 증거는 현재까지 확인되지 않았다고 강조했다.

이는 다음을 의미한다.

• GitHub에 호스팅된 고객의 공개 또는 비공개 저장소가 침해됐다는 증거는 없음
• 기업 고객의 조직 데이터 유출도 보고되지 않음
• 확인된 영향은 GitHub 자체 내부 코드베이스에 한정

다만 회사는 조사가 진행 중이며 추가적인 후속 공격 여부를 지속적으로 모니터링하고 있다고 밝혔다.

배후를 주장한 해킹 그룹 TeamPCP

사이버 범죄 조직 TeamPCP는 이번 공격의 배후라고 주장했다.

보도에 따르면 이 그룹은 사이버 범죄 포럼에서 GitHub의 내부 코드와 조직 데이터를 확보했다고 주장하며 이를 판매하려 했다고 한다.

일부 보안 연구자들은 TeamPCP를 UNC6780이라는 위협 그룹과 연결시키고 있지만, 이러한 귀속(attribution)은 아직 완전히 확정된 것은 아니다.

일부 보고에서는 공격자가 유출된 데이터를 수만 달러 수준의 가격으로 판매하려 시도했다는 정황도 언급됐다.

왜 중요한가: 소프트웨어 공급망 공격의 확대

이번 사건이 특히 주목받는 이유는 공격 방식 때문이다. 공격자는 서버나 서비스 자체가 아니라 개발자가 사용하는 도구를 먼저 노렸다.

최근 보안 업계에서는 다음과 같은 영역이 주요 공격 대상이 되고 있다.

• VS Code 확장 프로그램
• npm, PyPI 같은 패키지 저장소
• CI/CD 파이프라인
• 컨테이너 이미지 및 개발 도구

이러한 요소는 개발 환경 전체에 깊게 연결되어 있기 때문에, 신뢰받는 도구 하나만 침해해도 수많은 시스템으로 공격이 확산될 수 있다.

실제로 보안 연구에 따르면 오픈소스 생태계에서는 수십만 개의 악성 패키지가 발견되는 등 공급망 공격이 빠르게 증가하고 있다.

이번 사건이 남긴 보안 교훈

개발 환경이 공격 표적이 되면서 조직들이 고려해야 할 보안 조치도 달라지고 있다.

• 확장 프로그램 설치를 허용 목록(allowlist) 기반으로 제한
• 개발자 장비(endpoint) 활동 모니터링
• 저장소 접근 권한 최소화(least privilege)
• 토큰 및 인증 정보 주기적 교체
• 자동 비밀정보(secret) 탐지와 의존성 보안 도구 사용

개발자 컴퓨터는 코드 저장소, 빌드 파이프라인, API 키 등 고권한 접근 권한을 갖는 경우가 많기 때문에 한 번 침해되면 기업 인프라 깊숙한 곳까지 영향을 줄 수 있다.

더 큰 흐름

GitHub 사건은 현대 소프트웨어 보안의 현실을 보여준다. 오늘날 공격자들은 서버보다 개발 도구와 오픈소스 생태계를 노리는 경우가 점점 많아지고 있다.

GitHub는 현재까지 고객 데이터 영향은 확인되지 않았다고 밝혔지만, 이번 사건은 단 하나의 악성 확장 프로그램이 대형 기술 플랫폼 내부 시스템까지 접근할 수 있는 경로가 될 수 있다는 점을 보여준다.

결국 개발자들이 매일 사용하는 도구와 공급망을 보호하는 것이 현대 사이버 보안에서 가장 중요한 과제 중 하나가 되고 있다.