경찰청, 개인 액세스 토큰 유출 확인 후 보안권고문 배포…비공개 저장소 무단 접근 점검 당부
/연합뉴스[더파워 이우영 기자] 깃허브 접속 권한이 외부로 다수 유출된 사실이 확인되면서 경찰이 긴급 보안 권고에 나섰다. 비공개 저장소에 접근할 수 있는 인증수단이 포함돼 있어 기업 기밀과 개인정보 탈취로 이어질 수 있다는 우려가 나온다.
경찰청 국가수사본부는 국내외 기업과 개발자들이 사용하는 소프트웨어 개발 기반인 깃허브의 계정 접속 권한 다수가 외부에 유출된 사실을 최근 확인했다고 14일 밝혔다.
경찰은 추가 피해를 막기 위해 긴급 보안 조치와 권고사항을 담은 보안 권고문을 배포했다.
이번에 유출된 정보는 깃허브의 개인 액세스 토큰이다. 개인 액세스 토큰은 사용자가 깃허브 비공개 저장소에 접근할 때 사용하는 인증수단이다.
공격자가 이를 악용하면 피해자의 저장소에 접근할 수 있다. 저장소 안에 정보통신시스템 접속 정보가 포함돼 있을 경우, 이를 바탕으로 개인이나 기업의 주요 시스템에 침입할 가능성도 있다.
경찰은 이 경우 개인정보나 기업 기밀 등 민감한 자료가 탈취될 수 있다며 각별한 주의가 필요하다고 설명했다.
깃허브 비공개 저장소를 사용하는 기업과 개인은 우선 저장소에 무단 접근이 있었는지 점검해야 한다. 기존에 발급된 개인 액세스 토큰은 즉시 폐기하고 새로 발급받아야 한다.
기본 보안수칙 준수도 강조됐다. 경찰은 접근 권한의 다중 인증화, 권한 최소화와 세분화, 소스코드 내 주요 시스템 접속 정보 기재 금지, 개발자 PC 보안 상태의 주기적 점검 등을 권고했다.
경찰은 현재 깃허브 접속 권한 유출 사건을 수사하고 있다. 유출된 개인 액세스 토큰 사용자들과 깃허브 측에도 보안 조치를 하도록 통보했다.
깃허브 측은 유출된 개인 액세스 토큰을 폐기하고, 해당 토큰 이용자들에게 경보를 보내는 등 보안 조치를 수행했다고 경찰에 통지했다.
경찰은 추가 위협 정보가 확인되는 대로 관계 기관과 기업에 공유할 방침이다. 유사한 사이버 공격에 대비하기 위해 민·관 협력체계도 강화하기로 했다.
박우현 경찰청 사이버수사심의관은 “공격자들이 기업의 정보통신망뿐만 아니라 개발 기반을 공격 대상으로 삼는 것을 적발한 사례”라며 “기업과 개인 개발자들의 신속한 보안 조치가 반드시 필요하다”고 말했다.
이어 “범죄 피해가 발생했거나 의심 징후를 발견하면 즉시 신고해 달라”고 당부했다.
이우영 더파워 기자 leewy1986@thepowernews.co.kr