놀라운 어리석음의 전시, 공개 GitHub 저장소에서 비밀 CISA 자격 증명 발견
Source: Ars Technica
개요
보안 연구원 브라이언 크렙스는 미국 사이버보안 및 인프라 보안청(CISA)이 최소 2025년 11월부터 공개 GitHub 저장소에 평문 비밀번호, SSH 개인 키, 토큰 및 기타 민감한 자산을 대량으로 노출시켰다고 보고했습니다.
저장소 발견
현재는 오프라인 상태인 공개 저장소 **“Private‑CISA”**는 GitGuardian 연구원 Guillaume Valadon에 의해 크렙스에게 알려졌습니다. Valadon은 GitGuardian의 공개 코드 스캔을 통해 해당 저장소를 발견했으며, 저장소 소유자로부터 응답을 받지 못한 뒤 크렙스에게 연락했습니다.
Valadon은 크렙스에게 보낸 이메일에서 저장소의 커밋 로그가 GitHub의 기본 비밀 탐지 보호 기능이 저장소 관리자에 의해 비활성화된 것을 보여준다고 언급했습니다.
악용 및 영향
Seralys 설립자 Philippe Caturegli의 테스트 결과, Private‑CISA 저장소에 있는 자격 증명을 사용해 여러 Amazon Web Services GovCloud 계정에 높은 권한 수준으로 접근할 수 있음이 확인되었습니다. 이는 이번 유출이 장난이나 허위가 아니라는 것을 입증했습니다.
대응 및 이전 사건
이 저장소는 버지니아에 기반을 둔 CISA 계약업체 Nightwing이 관리한 것으로 보입니다. Nightwing은 공개적인 논평을 하지 않았으며, 문의를 CISA로 돌렸습니다.
이번 사건은 CISA와 관련된 첫 번째 대규모 보안 사고가 아닙니다. 올해 초, CISA 대행 이사 Madhu Gottumukkala는 기관 정책에 의해 도구 사용이 금지된 상황에서도 예외를 받아 ChatGPT에 민감한 정부 문서를 업로드한 바 있습니다. Gottumukkala는 2월에 그 직위에서 물러났습니다.