본문으로 건너뛰기
J
피드

그라파나랩스, 깃허브 토큰 털려 소스코드 유출

security 약 4분
tags
#github-actions#supply-chain#token#ci-cd#grafana
vote
0
댓글
북마크

그라파나랩스가 깃허브 환경 침해로 내부 소스코드가 유출됐다고 공개했다. 공격자는 깃허브 액션 설정 약점을 이용해 토큰을 빼낸 뒤 비공개 저장소에 접근했고, 이후 금품을 요구했지만 회사는 FBI 지침을 근거로 지급을 거부했다.

  • 1

    깃허브 액션 워크플로 설정 실수가 토큰 유출로 이어짐

  • 2

    고객 데이터나 개인정보 침해 흔적은 현재까지 확인되지 않음

  • 3

    그라파나랩스는 공격자의 금품 요구를 거부하고 사후 점검 결과를 추후 공개할 예정

  • 그라파나랩스가 깃허브 환경 침해로 소스코드가 외부로 유출됐다고 공식 인정함

    • 공격자는 그라파나랩스 깃허브 환경에 접근할 수 있는 토큰을 입수했고, 이 토큰으로 복수의 비공개 저장소에 접근한 것으로 알려짐
    • 회사는 침해된 자격 증명을 즉시 무효화했고, 현재까지 고객 데이터나 개인정보가 털린 흔적은 확인되지 않았다고 밝힘

  • 발단은 깃허브 액션(GitHub Actions) 워크플로 설정 문제로 보임

    • 외부 풀 리퀘스트에서 동작하는 pull_request_target 이벤트가 민감한 비밀 값에 접근할 수 있게 구성돼 있었다는 분석이 나옴
    • 공격자는 저장소를 포크한 뒤 악성 셸 명령을 넣어 환경 변수 속 자격 증명을 빼냈고, 추적을 피하려고 자신이 만든 포크를 삭제한 것으로 전해짐

⚠️주의

> pull_request_target은 편한 만큼 위험함. 외부 기여자 코드와 저장소 비밀 값이 같은 실행 경로에 놓이면, CI가 공격자의 데이터 탈취 도구가 될 수 있음.

  • 공격자는 유출한 소스코드를 공개하지 않는 대가로 금품을 요구했지만, 그라파나랩스는 지급을 거부함

    • 회사는 FBI가 공개적으로 권고해온 입장을 인용함
    • 돈을 내도 데이터가 반환된다는 보장이 없고, 오히려 비슷한 범죄를 부추길 수 있다는 논리임

  • 이 사건이 묘하게 더 크게 보이는 이유는 그라파나랩스가 관측·모니터링 분야의 대표 기업이라는 점임

    • 그라파나(Grafana)는 인프라 상태를 보는 데 워낙 많이 쓰이는 오픈소스 도구임
    • 그래서 일부 커뮤니티에서는 “모니터링 회사가 자기 인프라 경보를 놓쳤냐”는 식의 반응도 나옴. 좀 아프지만, 포인트는 있음

  • 핵심은 “소스코드는 공개될 수도 있다”가 아니라 “자동화 권한이 어디까지 열려 있었냐”임

    • 오픈소스 프로젝트는 외부 기여를 받아야 해서 CI 권한 설계가 까다로움
    • 비밀 값, 토큰, 워크플로 이벤트, 포크 PR 실행 정책을 같이 봐야 하는 이유가 여기서 나옴

기술 맥락

  • 이번 사고에서 중요한 건 깃허브 액션이 단순 자동화 도구가 아니라 권한을 가진 실행 환경이라는 점이에요. 빌드와 테스트를 돌리는 척하면서도, 설정에 따라 저장소 토큰이나 배포 자격 증명에 접근할 수 있거든요.

  • pull_request_target은 외부 기여자의 풀 리퀘스트를 검사할 때 자주 언급되는 기능이에요. 문제는 이 이벤트가 대상 저장소의 컨텍스트에서 실행될 수 있어서, 포크에서 온 코드와 민감한 비밀 값 사이의 경계가 흐려질 수 있다는 거예요.

  • 그라파나랩스가 바로 토큰을 무효화한 이유도 여기 있어요. 토큰은 한 번 빠져나가면 공격자가 비공개 저장소, 내부 패키지, 배포 파이프라인까지 어디까지 접근했는지 확인해야 해서 사고 범위가 빠르게 커져요.

  • 한국 개발팀도 오픈소스든 사내 저장소든 같은 문제를 만날 수 있어요. 특히 외부 PR을 받는 저장소라면 워크플로별 권한, 비밀 값 노출 조건, 포크 실행 정책을 따로 점검해야 해요.

이번 건은 소스코드 유출 자체보다 CI/CD 권한 설정이 공급망 보안의 실전 리스크라는 점이 더 큼. 오픈소스 인프라 강자도 깃허브 액션 설정 하나로 털릴 수 있다는 꽤 뼈아픈 사례임.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.