미국 사이버 기관 CISA가 수많은 비밀번호와 클라우드 키를 공개 웹에 노출했습니다

Source: TechCrunch

Incident Overview

미국 사이버 보안 기관인 CISA는 정부 클라우드와 내부 기관 시스템에 접근할 수 있는 공개된 자격 증명을 식별한 선의의 보안 연구자 덕분에 큰 보안 침해를 피했을 가능성이 있습니다.

Discovery

독립 보안 기자 Brian Krebs는 GitGuardian 연구원 Guillaume Valadon이 CISA 계약업체 직원이 GitHub 저장소에 공개적으로 접근 가능한 스프레드시트에 나열된 방대한 평문 자격 증명을 발견했다고 보도했습니다.

Exposed Credentials

노출된 자료에는 다음이 포함되었습니다:

• 액세스 토큰
• 클라우드 키
• 기타 민감한 파일

Valadon은 Krebs에게 이 자격 증명을 사용하면 CISA와 그 상위 기관인 국토안보부(DHS)의 시스템에 접근할 수 있다고 전했습니다. 그는 일부 키가 유효한지 확인하기 위해 테스트를 진행했으며, GitHub 환경을 관리하던 CISA 계약업체가 경고에 응답하지 않자 이를 Krebs에게 보고했습니다.

Agency Response

• TechCrunch에 연락했을 때, CISA 대변인은 즉시 논평하거나 노출로 인한 침해 증거가 있는지 확인하지 않았습니다.
• TechCrunch이 CISA가 노출된 자격 증명을 폐기하고 교체했는지 여부를 문의했으나, 보도 시점에는 답변이 제공되지 않았습니다.

Context

• 이번 실수는 비밀번호를 보호된 비밀번호 관리자에 보관하고 보호되지 않은 스프레드시트에 보관하지 말아야 한다는 모범 사례를 권고하는, 민간 연방 네트워크 전반의 사이버 보안을 담당하는 CISA에게 특히 난처한 상황입니다.
• 사건이 CISA 계약업체 직원에게서 비롯되었지만, 계약업체가 관리하는 시스템을 포함해 자체 네트워크와 시스템의 보안에 대한 최종 책임은 여전히 기관에 있습니다.
• CISA는 2025년 1월 20일, 당시 이사 Jen Easterly가 트럼프 행정부가 들어오면서 사임한 이후 영구 이사가 없는 상태였습니다.
• 또한 트럼프 대통령 취임 이후 인력 감축, 휴직, 해고 등으로 인해 전체 인력의 약 3분의 1을 잃은 것으로 NextGov가 보도했습니다.