개발자 플랫폼 ‘깃허브’ 계정접속 권한 털렸다… 경찰 긴급보안 조치 권고

警 “즉시 폐기” 긴급 보안 권고
500여개 탈취… 인터폴과 공유

전 세계 소프트웨어 개발자들이 소스 코드를 저장·관리하는 플랫폼인 깃허브(GitHub)에서 수백개 계정 정보가 외부로 유출된 것을 한국 경찰이 확인했다. 경찰은 추가 피해를 막기 위해 보안 권고문을 발표했다. 경찰청 국가수사본부는 깃허브 사용자가 비공개 저장소에 접근하기 위해 사용하는 인증수단인 ‘개인 액세스 토큰’(PAT) 500여개가 외부에 유출된 사실을 확인했다고 14일 밝혔다.

 

마이크로소프트가 운영하는 깃허브는 국내외 기업 개발자들이 가장 많이 사용하는 플랫폼으로 공격자가 비공개 저장소 내 소스 코드를 악용해 각 기업의 정보통신시스템에 접근할 수 있다는 우려가 나온다. 이를 통해 개인 정보나 기업 기밀 등 민감한 중요자료가 탈취되는 2차 피해 가능성도 제기됐다. 경찰은 국내 40여개 기업의 PAT가 탈취된 것을 확인하고 피해사실을 알렸다.

 

전 세계 소프트웨어 개발자들이 소스 코드를 저장·관리하는 플랫폼인 깃허브(GitHub)에서 500여개 계정 정보가 외부로 유출된 것을 한국 경찰이 확인했다. 뉴시스

여기에는 온라인동영상서비스(OTT) 티빙과 교육 기업인 데이원컴퍼니가 포함된 것으로 파악됐다. 이들 기업에서는 실제 개인정보 유출 피해가 발생했다. 더불어민주당 이정헌 의원실에 따르면 티빙과 제휴한 네이버, 카카오 등 플랫폼과 통신사 등을 통해 계정을 연동한 고객들도 티빙 개인정보 유출 사고의 피해 대상이 됐다. 티빙 개인정보 유출 규모는 지난달 22일 기준 1953만명으로 집계됐다. 이는 역대 개인정보 유출 사고 중 4번째로 큰 규모다. 다만 현재까지 경찰에 보고된 금전적 피해는 없는 것으로 전해졌다.

 

경찰은 나머지 PAT의 국적 등도 파악 중으로 국제형사경찰기구(인터폴)와 깃허브 측에도 피해 정보를 공유했다. 깃허브 측은 유출된 PAT 폐기 및 유출된 PAT 이용자들에 대한 경보 등 보안 조치를 수행했다고 전했다.

 

경찰은 공격자의 해킹 흔적을 추적하는 과정에서 이 같은 유출 정황을 확인했다고 설명했다. 경찰은 해당 공격자에 대한 수사를 진행하고 있다. 경찰은 깃허브 비공개 저장소를 사용하는 기업과 개인에 접속 권한 유출에 따른 침해가 발생했는지 확인해볼 것을 권고했다. 침해가 발생했다면 기존에 발급된 PAT를 즉시 폐기하고 재발급해야 한다. 이와 함께 깃허브 접근 권한을 인증화, 최소화, 세분화할 것과 소스 코드 안에 주요시스템 접속 정보를 기재하지 말 것을 당부했다. 개발자 PC에 대한 주기적인 보안점검도 중요하다고 강조했다. 박우현 경찰청 사이버수사심의관은 “공격자들이 기업의 정보통신망뿐만 아니라 개발 기반을 공격 대상으로 삼는 것을 적발한 사례”라며 “기업과 개인 개발자들의 신속한 보안 조치가 반드시 필요하다”고 말했다.