경찰, '깃허브' 접속 권한 유출 수사…보안권고문 배포
깃허브 계정 접속 권한 유출 확인
사건 수사중…보안 조치토록 통보
[파이낸셜뉴스] 경찰이 소프트웨어 개발 플랫폼 깃허브(GitHub)의 계정 접속 권한이 유출된 사실을 확인하고 수사에 착수했다.
경찰청 국가수사본부는 깃허브 접속 권한 유출 사건을 수사하고 있으며, 유출된 개인 액세스 토큰 사용자와 깃허브 측에 보안 조치를 하도록 통보했다고 14일 밝혔다.
깃허브는 마이크로소프트가 운영하는 소프트웨어 개발 플랫폼으로 기업과 개발자들이 소스 코드를 저장·관리·공유하는 데 활용된다. 이번에 유출된 정보는 깃허브의 '개인 액세스 토큰(PAT)'이다. 개인 액세스 토큰은 사용자가 깃허브의 비공개 저장소에 접근할 때 사용하는 인증 수단이다.
공격자가 이를 악용해 피해자의 저장소에 접근하면 정보통신시스템 접속에 필요한 정보를 확보할 수 있다. 이를 바탕으로 개인이나 기업의 주요 시스템에 침입해 개인정보와 기업 기밀 등 민감한 자료를 탈취할 가능성도 있다.
경찰은 깃허브 비공개 저장소를 이용하는 기업과 개인에게 무단 접근 등 침해 여부를 점검하고, 기존에 발급된 개인 액세스 토큰을 즉시 폐기한 뒤 새로 발급받을 것을 권고했다.
추가 피해를 막기 위해서는 △접근 권한 다중 인증화 및 최소화·세분화 △소스 코드 내 주요 시스템 접속 정보 기재 금지 △개발자 PC 보안 상태에 대한 주기적인 점검 등 기본적인 보안 수칙을 준수해야 한다고 강조했다.
경찰은 긴급 보안 조치와 권고사항을 담은 보안 권고문도 배포했다. 깃허브 측은 유출된 개인 액세스 토큰을 폐기하고 해당 토큰 이용자들에게 경보를 발송하는 등 보안 조치를 했다고 통지했다.
경찰은 추가 위협 정보가 확인되는 대로 관계 기관과 기업에 신속히 공유하는 한편 유사한 사이버 공격에 대비해 민·관 협력체계와 대응 역량을 강화할 방침이다.
박우현 경찰청 사이버수사심의관은 "공격자들이 기업의 정보통신망뿐만 아니라 개발 기반을 공격 대상으로 삼는 것을 적발한 사례로, 기업과 개인 개발자들의 신속한 보안 조치가 반드시 필요하다"며 "범죄 피해가 발생했거나 의심 징후 발견 시 즉시 신고해 주시길 부탁드린다"고 당부했다.
welcome@fnnews.com 장유하 기자










