깃허브 접속 권한, 대규모로 새어 나갔다

개발자라면 한 번쯤 써봤을 깃허브(GitHub). 코드를 저장하고 관리하는 이 플랫폼에서 다수 계정의 접속 권한이 외부로 유출된 정황을 경찰청 국가수사본부가 확인했다. 유출된 건 '개인 액세스 토큰(PAT)'으로, 비공개 저장소에 접근할 때 쓰는 일종의 열쇠다. 이 열쇠를 손에 넣은 해커는 코드 속 민감 정보를 빼내는 건 물론, 이를 발판 삼아 개인이나 기업 시스템까지 침투할 수 있어 파장이 작지 않다.

업계 파악으로는 국적이 확인된 피해 계정만 54개국 370여 개, 국적 미상 계정도 200개가 넘는다. 국내 계정도 30여 개 포함된 것으로 알려졌다. 경찰은 즉시 수사에 착수하는 한편 마이크로소프트, 인터폴, 피해 계정 사용자·기업에 유출 사실을 알리고 긴급 대응을 요청했다. 깃허브 측도 "유출된 개인 액세스 토큰을 폐기하고, 유출된 개인 액세스 토큰의 이용자들에게 경고하는 등 긴급 보안 조치를 완료했다"고 밝혔다.

경찰청은 비공개 저장소 이용자들에게 무단 접근 흔적이 있는지 점검하고, 기존 PAT는 즉시 폐기 후 재발급받으라고 권고했다. 접근 권한을 다중 인증화·최소화·세분화하고, 소스코드 안에 시스템 접속 정보를 저장하지 않는 것도 함께 당부했다.

카카오인 척하는 메일, 조금만 더 의심하자

같은 시기 안랩은 카카오의 공식 안내 메일로 위장한 피싱 메일을 포착했다고 전했다. '계정이 이전될 예정'이라며 불안감을 자극한 뒤 '계정이용 확인' 링크를 클릭하도록 유도하는 방식이다. 링크를 누르고 이메일·비밀번호를 입력하면 그 정보가 그대로 공격자 서버로 넘어간다.

이번 사례가 까다로운 이유는 해커가 무료 호스팅 대신 보안이 취약한 정상 웹사이트 서버를 해킹해 피싱 페이지를 심었다는 점이다. 주소창만 봐서는 진짜 사이트의 하위 경로처럼 보여 구분이 쉽지 않다. 안랩은 발신자 주소 확인, 메일 속 링크 클릭 자제, HTTPS·자물쇠 아이콘 확인을 권한다. 비밀번호나 인증번호를 요구하는 경우엔 메일 링크가 아니라 공식 앱·브라우저로 직접 접속해야 하고, 이미 정보를 입력했다면 즉시 비밀번호를 바꾸고 동일 정보를 쓰는 다른 서비스도 점검하는 게 안전하다.

오즈백 한 줄 정리

토큰 하나, 링크 하나가 시작이다 — 의심 한 번이 계정을 지킨다.