미국 CISA, GitHub에 AWS 접근 자격증명 방치 6개월...사이버보안청의 심각한 정보유출 사고, 산업 신뢰도 흔들어
보안 기관이 관리자 자격증명을 공개 저장소에 노출해 전문가들로부터 경악 유발
[한국정보기술신문] 미국 국토안보부 산하 사이버보안기반시설보안청이 GitHub의 공개 저장소에 민감한 보안 자격증명을 노출했다. 보안 전문가들은 이를 경력 최악의 정보유출이라고 평가했다.
유출된 정보와 노출 기간
유출된 내용은 심각했다. AWS 클라우드 서버에 접근하기 위한 관리자 자격증명이 평문 형태로 노출됐다. CSV 파일에는 사용자명과 비밀번호가 그대로 저장되어 있었다. 기관의 보안 코드 개발 환경 접근 토큰도 포함됐다.
더 큰 문제는 노출 기간이었다. Private-CISA라는 이름의 저장소는 지난해 11월부터 약 6개월 동안 공개 상태로 방치됐다. 누구나 인터넷에서 접근할 수 있었던 것이다.
기관의 대응과 영향
CISA는 현재까지 민감한 데이터가 손상되었다는 증거가 없다고 주장하고 있다. 하지만 보안 전문가들 사이에서는 회의적인 반응이 나오고 있다. 방치 기간이 길수록 악의적 행위자가 접근했을 가능성이 높기 때문이다.
산업에 미친 영향
이 사건은 미국 사이버보안 기관의 신뢰도를 크게 흔들었다. 국내 보안 조직들도 이 사례를 참고해야 한다는 지적이 나온다. 개발 도구와 평문 자격증명 관리 방식 개선이 시급해 보인다.
CISA는 물론 모든 조직이 시스템적으로 자격증명 관리와 저장소 접근 제어를 강화해야 한다. 보안 기관이 이런 기본적 실수를 하지 않으려면 내부 감시 체계를 강화해야 할 것 같다.
한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org
