깃허브는 해커가 직원 컴퓨터에 악성 플러그인을 심어서 내부 저장소 약 3,800개에서 코드를 탈취했다고 밝혔습니다. 이에 따라 코드 내부에 저장된 API 키의 보안에 대한 암호화폐 업계의 우려가 커지고 있습니다.
바이낸스 창립자 창펑 자오는 개발자들에게 모든 프로젝트에서 숨겨진 키를 점검하고 교체할 것을 당부했습니다. 또한 개인 저장소조차 외부에 노출된 것으로 간주해야 한다고 경고했습니다.
회사에서 밝힌 내용
깃허브는 이번 유출이 한 직원이 악성 버전의 VS 코드 확장 프로그램을 설치하면서 시작됐다고 밝혔습니다. 해당 프로그램은 전 세계 수백만 명의 개발자들이 사용하는 코드 에디터의 소형 애드온입니다.
회사 측은 영향을 받은 컴퓨터를 격리하고 악성 확장 프로그램을 제거했습니다. 이후 즉시 중요 비밀번호를 교체하기 시작했습니다. 위험도가 가장 높은 자격 증명이 우선적으로 교체됐습니다.
현재까지 조사 결과, 해커는 깃허브 내부 저장소에서만 코드를 유출한 것으로 보입니다. 고객 프로젝트, 조직, 계정에는 영향을 미친 흔적이 없습니다.
깃허브는 해커가 탈취했다고 주장한 약 3,800개의 저장소 수치가 내부 조사 결과와 일치한다고 밝혔습니다. 조사가 마무리되는 대로 더 상세한 보고서를 공개할 예정입니다.
암호화폐 개발자들이 경계하는 이유
암호화폐 분야에서는 노출된 API 키로 몇 분 만에 거래 계좌에서 자금이 유출될 수 있습니다. 다수의 키가 지갑, 관리 툴, 거래소 봇 접근 권한도 갖고 있습니다. 이런 이유로 CZ가 빠르게 팔로워들에게 경고했습니다.
이 업계는 과거에도 피해를 입었습니다. 올해 초 인프라 공급업체 버셀에서 발생한 유출로 팀들이 키를 교체해야 했습니다. 2022년 3콤마스 유출로 약 10만 개 사용자 키가 노출됐습니다.
비트워든 비밀번호 관리자의 별도 공급망 공격에서는 지갑 시드와 개발자 토큰이 탈취됐습니다. 해커는 탈취한 데이터를 깃허브 저장소에 숨겼습니다.
개발자들은 종종 비공개 키를 코드, 빌드 스크립트, 숨은 구성 파일 등에 남겨둡니다. 외부 인원이 이를 볼 수 없다고 생각하기 때문입니다. 그러나 이번 깃허브 사례는 내부 시스템도 공개 시스템과 같이 쉽게 침해될 수 있음을 보여줍니다.
깃허브는 팀이 현재도 로그를 분석하고 있다고 밝혔습니다. 유출된 저장소에 암호화폐 인프라와 관련된 코드나 비밀 정보가 포함됐는지 여부는 앞으로 며칠 내로 더 명확해질 전망입니다.
