미국 사이버보안 기관, GitHub에 디지털 키를 공개

Source: Hacker News

사건 개요

미국 사이버보안 및 인프라 보안청(CISA)이 Krebs on Security의 보고에 따르면, 공개 GitHub 저장소에 클라우드 스토리지 계정의 디지털 키를 평문 형태로 실수로 노출했습니다. “Private‑CISA”라는 이름의 이 저장소에는 비밀번호, 키, 토큰이 포함되어 있었으며, 평문 자격 증명이 들어 있는 CSV 파일도 포함돼 있었습니다. 이 문제는 주말 동안 해결되었습니다.

CISA 성명

“현재 이 사건으로 인해 민감한 데이터가 유출되었다는 징후는 없습니다[…] 우리는 팀원들에게 최고 수준의 정직성과 운영 인식을 요구하고 있으며, 향후 유사 사건을 방지하기 위해 추가적인 보호 조치를 구현하고 있습니다.”

이 저장소는 전년 11월에 생성된 것으로, 취약점이 최대 6개월 동안 지속됐을 가능성이 있지만 정확한 기간은 확실하지 않습니다.

CISA 배경

CISA는 2018년 사이버보안 및 인프라 보안청법에 의해 설립된 국토안보부 산하 부서입니다. 설립 이후, 이 기관은 리더십 교체와 예산 논쟁 등 운영상의 어려움에 직면해 왔습니다.

정치적 맥락

• 기관의 리더십이 여러 차례 교체되었으며, 대행 이사는 상원의 승인을 기다리고 있습니다.
• CISA 예산은 크게 축소하자는 제안이 나오면서 논쟁의 대상이 되고 있습니다.

(이 내용은 배경 정보를 제공하기 위한 것이며, 유출의 기술적 성격에 직접적인 영향을 주지는 않습니다.)

유출 상세

• File “importantAWStokens” – 세 개의 Amazon AWS GovCloud 서버에 대한 관리 권한 자격 증명이 포함돼 있었습니다.
• File “AWS-Workspace-Firefox-Passwords.csv” – 내부 CISA 시스템 수십 개의 평문 사용자 이름과 비밀번호가 나열돼 있었으며, 여기에는 “LZ‑DSO”(Landing Zone DevSecOps)라는 시스템도 포함되었습니다.

이 유출은 정부 계약업체 직원(Nightwing)이 작업용 장치와 가정용 장치 사이에 자료를 전송하기 위해 GitHub를 사용하면서 발생한 것으로 보입니다.

전문가 의견

GitHub에서 노출된 비밀을 스캔하는 회사인 GitGuardian의 Guillaume Valadon은 Krebs에게 “제가 경력 동안 목격한 최악의 유출”이라고 평가했습니다.

출처

• Krebs on Security report
• NY Times article on CISA challenges
• Trump’s signing remarks (archived)
• 원문에 인용된 NPR, Gizmodo, Politico 기사 등 추가 참고 자료.