규제·정책Cisa2026년 7월 11일 12:25

CISA 위탁업체가 비밀번호를 GitHub에 공개

CISA 위탁업체 직원이 대량의 비밀번호를 누구나 접근할 수 있는 공개 GitHub 저장소에 업로드했다는 사실이 밝혀졌다. 2025년 5월, 독립계 기자 브라이언 크렙스가 보안 회사 GitGuardian 연구원으로부터 받은 보고를 기반으로 보도했다. CISA는 이 문제에 대한 대응 절차를 사건 발생 이후에야 처음으로 마련했다는 점을 스스로 인정했다.

CISA 위탁업체가 비밀번호를 GitHub에 공개

미국의 사이버보안 기관인 CISA(사이버보안·기반시설보안청)의 위탁업체 직원이 기밀성이 높은 비밀번호 모음을 누구나 열람할 수 있는 상태의 GitHub 저장소(소스코드 등을 관리하는 공개 서비스 상의 보관 장소)에 업로드했다는 사실이 드러났다. 이 문제를 처음 보도한 것은 독립계 사이버보안 기자 브라이언 크렙스로, 2025년 5월의 일이었다.

크렙스에 따르면, 보안 회사 GitGuardian의 연구원이 대량의 노출된 비밀번호를 발견했고 크렙스에 경고를 보냈다. GitGuardian은 코드 저장소 상의 기밀 정보 유출을 감시하는 것을 전문으로 하는 회사로, 동사의 조사가 이 정보 유출의 단초가 되었다. 문제의 저장소는 공개 설정, 즉 인터넷상의 누구나 접근할 수 있는 상태에 놓여 있었으며, 그 안에 다수의 비밀번호가 포함되어 있었다.

CISA는 미국 연방정부 기관 중에서도 사이버보안을 전문으로 담당하는 조직이며, 다른 정부 기관과 민간 기반시설을 보호하는 역할을 수행한다. 그 CISA 자신의 위탁업체가 일으킨 이번 유출은 보호하는 쪽이 보호받는 대상이 되는 아이러니한 구도를 낳았다. 또한 CISA는 사건에 대처하기 위한 사건 대응 절차(어떻게 조사하고, 어떻게 연락하고, 어떻게 복구할 것인지의 지침)를 사건 발생 이후에야 처음으로 마련했다는 점을 동 기관 스스로 인정하고 있다.

GitHub 같은 공개 저장소로의 기밀 정보 오류 업로드는 개발 현장에서 반복적으로 일어나온 문제다. 기업이나 기관이 외부 위탁업체를 활용하는 경우, 위탁처의 보안 관리 수준이 직접 위험으로 직결된다. 이번 건은 정부 기관에 있어서도 예외가 아니라는 점을 다시 한번 보여주고 있다는 견해가 있다.

더욱 문제로 떠오르는 것은 CISA가 이러한 사태에 대한 대응 절차를 사전에 마련하지 않았다는 점이다. 사건 대응 계획을 '유사시 중에 만든다'는 상황은 조직의 준비 태세로서 충분하지 않다고 평가받을 수 있다. 정부 기관의 사이버보안 관리 체제 그 자체가 문제 되는 사건으로 자리매김된다.

앞으로 주목되는 것은 CISA가 이 유출에 대해 어떤 재발 방지 대책을 제시할 것인가, 그리고 위탁업체를 포함한 공급망 전체의 보안 관리를 어떻게 강화할 것인가 하는 점이다. 정부 기관이 스스로의 사이버보안상 약점을 공개적으로 인정한 것은 투명성이라는 관점에서는 평가할 수 있는 한편, 국가 수준의 보안 체제에 대한 신뢰에 어떻게 영향을 미칠 것인지를 파악할 필요가 있다고 할 수 있다.

#CyberSecurity#DataBreach#CISA#GitHub#Government#SecurityManagement#SupplyChainRisk
AI issue 편집부

본 기사는 AI issue 편집부가 사실(fact)을 바탕으로 독자적으로 작성·편집한 저작물입니다. 저작권은 AI issue에 있으며, 무단 전재·재배포 및 AI 학습·활용을 금합니다.

댓글

댓글을 작성하려면 로그인하세요