그라파나랩스 깃허브 환경 침해로 소스코드 유출...공격자 금품 요구엔 'FBI 지침 따라 단호한 거부'

[한국정보기술신문] 오픈소스 관측·모니터링 플랫폼 '그라파나(Grafana)'를 개발하는 그라파나랩스가 17일 자사 깃허브(GitHub) 코드 저장소 환경에 대한 무단 접근으로 소스코드가 외부로 유출되는 보안 사고가 발생했다고 공식 발표했다. 회사 측은 사고 인지 직후 침해된 자격 증명을 즉시 무효화하고 추가 보안 조치를 적용했으며, 지금까지 조사 결과 고객 데이터나 개인정보가 침해된 흔적은 확인되지 않았다고 밝혔다.

이번 사고는 그라파나랩스의 공식 X(구 트위터) 계정을 통해 한국 시간 17일 오전 10시 45분께 공개됐다. 그라파나랩스는 여섯 차례에 걸친 연속 게시글에서 "권한이 없는 외부 인사가 그라파나랩스 깃허브 환경에 접근할 수 있는 토큰을 입수해 소스코드를 내려받았다"며 사고 사실을 인정했다. 해당 게시글은 공개 약 7시간 만에 63만 회 이상 조회되며 글로벌 개발자 커뮤니티의 즉각적인 관심을 받았다.

업계 분석에 따르면 공격자는 그라파나랩스가 운용하는 깃허브 액션(GitHub Action) 워크플로의 설정상 약점을 파고든 것으로 전해진다. 외부 풀 리퀘스트(pull_request_target) 이벤트로 동작하는 워크플로가 외부 포크에서도 민감한 비밀 값에 접근할 수 있도록 잘못 구성돼 있었다는 것이다. 공격자는 그라파나 저장소를 포크한 뒤 악성 셸 명령을 삽입해 환경 변수에 포함된 자격 증명을 빼냈고, 추적을 회피하기 위해 자신이 만든 포크를 삭제한 것으로 알려졌다. 탈취된 토큰은 이후 복수의 비공개 저장소에 접근하는 데 재사용됐으며, 결과적으로 그라파나랩스 내부 소스코드가 외부로 빠져나갔다. 그라파나랩스는 "조사 결과 고객 시스템이나 운영에 영향을 준 증거는 발견되지 않았다"고 강조했다.

그라파나랩스는 공격자가 탈취한 소스코드를 공개하지 않는 대가로 금품을 요구하는 협박을 시도했다고 밝혔다. 회사는 그러나 지급을 단호히 거부했다. 그라파나랩스는 게시글에서 미국 연방수사국(FBI)이 공개적으로 밝혀온 입장, 즉 몸값을 지급한다고 해서 탈취된 데이터가 반환된다는 보장이 없으며, 오히려 유사한 불법 행위에 가담할 동기를 다른 범죄자에게 제공하는 결과만 낳는다는 지침을 인용해 지급하지 않기로 결정했다고 설명했다. 회사는 자체 운영 경험과 수사 당국의 지침을 종합한 결과 "몸값을 지급하지 않는 것이 적절한 대응 방향"이라고 판단했다고 덧붙였다.

그라파나랩스는 사고 인지 직후 자체 보안 절차에 따라 포렌식 분석에 착수했으며, 자격 증명이 유출된 진원지를 파악한 것으로 보고 있다고 밝혔다. 회사는 침해된 자격 증명을 모두 무효화하고, 무단 접근을 차단하기 위한 추가적인 보안 강화 조치를 적용했다고 설명했다. 그라파나랩스는 표준 보안 절차에 따라 사후 점검(post-incident review)이 마무리되는 대로 추가 정보를 공유할 계획이라고 밝혔다.

이번 사고는 소스코드 그 자체보다, 코드를 다루는 자동화 운영 환경─특히 깃허브 액션과 같은 CI/CD 워크플로의 권한 설정이 공급망 보안의 핵심 변수로 부상했음을 다시 한 번 보여줬다는 평가가 나온다. 한편 일부 누리꾼들 사이에서는 관측·모니터링 분야를 선도해온 기업이 정작 자사 인프라에 대한 경보를 놓쳤다는 점을 두고 아이러니라는 반응이 제기됐다.