CISA 관리자가 GitHub에 AWS GovCloud 키를 유출.
출처: Slashdot
개요
익명의 독자는 KrebsOnSecurity의 보고서를 인용했는데, 사이버보안 및 인프라 보안청(CISA) 계약자가 여러 고권한 AWS GovCloud 계정과 다수의 내부 CISA 시스템에 대한 자격 증명을 노출하는 공개 GitHub 저장소를 유지하고 있었다고 전했습니다. 보안 전문가들은 이 저장소를 최근 역사상 가장 심각한 정부 데이터 유출 중 하나로 평가했습니다.
유출 상세
-
저장소 이름은 **“Private‑CISA”**이며, 클라우드 키, 토큰, 평문 비밀번호, 로그 및 기타 민감한 자산을 포함한 방대한 내부 CISA/DHS 자격 증명 및 파일이 포함되어 있었습니다.
-
커밋 로그에 따르면 CISA 관리자가 공개 저장소에 SSH 키나 기타 비밀을 게시하는 것을 차단하는 GitHub의 기본 설정을 비활성화한 것으로 나타났습니다.
-
보안 연구원의 이메일 발췌문은 보안 위생이 부실함을 강조했습니다:
“CSV 파일에 평문 비밀번호가 저장되고, 백업이 Git에 보관되며, GitHub 비밀 감지 기능을 비활성화하는 명령이 명시적으로 실행되었습니다.”
-
GitGuardian의 Guillaume Valadon 연구원은 소유자가 연락에 응답하지 않자 해당 저장소를 신고했습니다. Valadon은 이번 사건을 “내 경력에서 목격한 최악의 유출”이라고 묘사했으며, 개인의 실수처럼 보이지만 내부 전반의 관행을 드러낼 수도 있다고 지적했습니다.
CISA의 대응
“현재 이 사건으로 인해 민감한 데이터가 유출되었다는 징후는 없습니다,” 라고 CISA 대변인이 밝혔습니다.
“우리는 팀 구성원에게 최고 수준의 청렴성과 운영 인식을 요구하고 있으며, 향후 발생을 방지하기 위해 추가적인 보호 조치를 구현하고 있습니다.”
타임라인 및 사후 상황
-
CISA에 통보된 직후 GitHub 계정이 차단되었습니다.
-
보안 분석가 Caturegli에 따르면, 노출된 AWS 키는 추가로 48시간 동안 유효했습니다.
-
Caturegli는 유출 원인에 대해 추측했습니다:
“제가 추측하기에 [CISA 계약자]는 업무용 노트북과 개인용 컴퓨터 간에 파일을 동기화하기 위해 이 GitHub를 사용하고 있었던 것으로 보입니다. 그는 2025년 11월부터 꾸준히 이 저장소에 커밋해 왔습니다.”
-
이번 사건은 부적절한 비밀 관리의 위험성과 공개 코드 저장소에서 자동 감지 도구의 중요성을 강조합니다.