CISA 관리자, GitHub에 AWS GovCloud 키 유출
Source: Krebs on Security
CISA 계약자의 공개 GitHub 저장소가 고권한 AWS GovCloud 자격 증명을 노출
지난 주말까지 사이버보안 및 인프라 보안청(CISA) 계약자는 GitHub에 공개 저장소를 운영하면서 여러 고권한 AWS GovCloud 계정과 다수의 내부 CISA 시스템에 대한 자격 증명을 노출했습니다. 보안 전문가들은 이 공개 아카이브에 CISA가 내부에서 소프트웨어를 빌드·테스트·배포하는 방식을 상세히 기록한 파일들이 포함돼 있어, 최근 역사상 가장 심각한 정부 데이터 유출 중 하나라고 평가했습니다.
발견
5월 15일, KrebsOnSecurity는 보안 기업 GitGuardian의 연구원 Guillaume Valadon으로부터 연락을 받았습니다. GitGuardian은 공개 코드 저장소에서 노출된 비밀 정보를 지속적으로 스캔하고, 위반 계정에 자동으로 경고합니다. Valadon은 저장소 소유자가 응답하지 않았고, 노출된 정보가 매우 민감하기 때문에 제보했다고 밝혔습니다.
Valadon이 지적한 GitHub 저장소는 “Private‑CISA.” 라는 이름을 가지고 있었으며, 방대한 양의 내부 CISA/DHS 자격 증명과 파일을 포함하고 있었습니다. 주요 내용은 다음과 같습니다.
- 클라우드 키
- 토큰
- 평문 비밀번호
- 로그
- 기타 민감한 CISA 자산
Valadon은 커밋 로그에서 CISA 관리자가 GitHub의 기본 비밀 탐지 기능을 비활성화했으며, 그 결과 SSH 키 등 비밀 정보가 공개적으로 배포될 수 있었다고 지적했습니다.
“CSV 파일에 평문 비밀번호가 저장되고, 백업이 git에 남으며, GitHub 비밀 탐지 기능을 명시적으로 비활성화하는 명령까지 포함돼 있다.” – Valadon
“내용을 더 깊이 분석하기 전까지는 모두 가짜라고 생각했어요. 제 경력 중 가장 심각한 유출입니다. 개인 실수는 분명하지만, 내부 관행을 드러낼 수도 있다고 봅니다.”
노출된 파일
| 파일 | 내용 |
|---|---|
| importantAWStokens | 세 개의 Amazon AWS GovCloud 서버에 대한 관리자 자격 증명 |
| AWS-Workspace-Firefox-Passwords.csv | 수십 개 내부 CISA 시스템의 평문 사용자명·비밀번호 (예: “LZ‑DSO” – Landing Zone DevSecOps) |
| 기타 여러 파일 | CISA 내부 artifactory(코드 패키지 저장소)와 다수 내부 리소스에 대한 평문 자격 증명 |
전문가 의견
보안 컨설팅 회사 Seralys의 설립자 Philippe Caturegli는 노출된 AWS 키가 여전히 유효한지, 그리고 어떤 내부 시스템에 접근할 수 있는지 테스트했습니다.
- 노출된 자격 증명은 세 개의 AWS GovCloud 계정에 고권한 수준으로 인증됩니다.
- 아카이브에는 CISA 내부 artifactory에 대한 평문 자격 증명도 포함돼 있어, 공격자가 지속적인 foothold를 확보하려는 주요 표적이 됩니다.
“이곳은 나중에 횡방향 이동을 시도하기에 최적의 장소죠. 일부 소프트웨어 패키지에 백도어를 심고, 새로 무언가를 빌드할 때마다 백도어를 배포하게 됩니다.” – Caturegli
Caturegli는 저장소 메타데이터가 스크래치패드 또는 동기화 메커니즘으로 사용된 것으로 보이며, 정식 프로젝트라기보다는 임시 용도였다고 지적했습니다.
“CISA와 연계된 이메일 주소와 개인 이메일 주소가 모두 사용된 점을 보면, 저장소가 서로 다른 환경에서 활용됐을 가능성이 있습니다. 제공된 Git 메타데이터만으로는 어느 엔드포인트나 디바이스에서 사용됐는지 증명할 수 없습니다.”
또한 많은 비밀번호가 예측 가능한 패턴(예: “)을 따르고 있었으며, 이는 비밀번호가 노출되지 않았더라도 심각한 보안 위험을 초래한다고 강조했습니다.
CISA 대응
CISA 대변인은 해당 기관이 유출 사실을 인지하고 조사 중이라고 확인했습니다.
“현재 이 사건으로 인해 민감한 데이터가 유출되었다는 증거는 없습니다. 우리 팀원들에게 최고 수준의 무결성과 운영 인식을 요구하고 있으며, 향후 유사 사건 방지를 위해 추가적인 보호 조치를 시행하고 있습니다.”
계약자 및 일정
- “Private CISA” 저장소는 버지니아 주 덜레스에 본사를 둔 정부 계약업체 Nightwing에 고용된 계약자가 관리했습니다. Nightwing은 논평을 거부하고 모든 문의를 CISA에 전달했습니다.
- 저장소 생성일: 2025 년 11 월 13 일
- 계약자의 GitHub 계정 생성일: 2018 년 9 월
- KrebsOnSecurity와 Seralys가 CISA에 통보한 직후 GitHub 계정이 비활성화되었습니다.
- 저장소가 삭제된 후에도 노출된 AWS 키는 추가 48시간 동안 유효했습니다.
주요 시사점
- 비밀 탐지 기능을 비활성화하면 대규모 데이터 유출이 발생할 수 있습니다.
- 평문으로 자격 증명을 저장하는 행위(CSV 파일, Git 백업 등)는 보안 위생이 매우 부실한 전형적인 사례입니다.
- 예측 가능한 비밀번호는 위협 행위자가 횡방향 이동을 시도할 위험을 크게 높입니다.
- 신속한 복구(저장소 삭제, 키 교체)는 필수이지만, 노출 창이 남아 있는 동안 악용될 가능성은 여전히 존재합니다.
이 글은 원본 마크다운 내용을 정리·정제한 버전이며, 구조와 모든 사실 정보를 그대로 유지했습니다.
“... 작업용 노트북과 집 컴퓨터 사이에 파일을 동기화하기 위해, 2025 년 11 월부터 이 저장소에 정기적으로 커밋해 왔기 때문입니다,” 라고 Caturegli는 말했습니다. “이는 어느 기업에게도 당혹스러운 유출이지만, CISA와 관련된 경우라면 더욱 그렇습니다.”