---
title: "그라파나랩스, 깃허브 토큰 털려 소스코드 유출"
published: 2026-05-17T11:05:03.013Z
canonical: https://jeff.news/article/2803
---
# 그라파나랩스, 깃허브 토큰 털려 소스코드 유출

그라파나랩스가 깃허브 환경 침해로 내부 소스코드가 유출됐다고 공개했다. 공격자는 깃허브 액션 설정 약점을 이용해 토큰을 빼낸 뒤 비공개 저장소에 접근했고, 이후 금품을 요구했지만 회사는 FBI 지침을 근거로 지급을 거부했다.

- 그라파나랩스가 깃허브 환경 침해로 소스코드가 외부로 유출됐다고 공식 인정함
  - 공격자는 그라파나랩스 깃허브 환경에 접근할 수 있는 토큰을 입수했고, 이 토큰으로 복수의 비공개 저장소에 접근한 것으로 알려짐
  - 회사는 침해된 자격 증명을 즉시 무효화했고, 현재까지 고객 데이터나 개인정보가 털린 흔적은 확인되지 않았다고 밝힘

- 발단은 깃허브 액션(GitHub Actions) 워크플로 설정 문제로 보임
  - 외부 풀 리퀘스트에서 동작하는 `pull_request_target` 이벤트가 민감한 비밀 값에 접근할 수 있게 구성돼 있었다는 분석이 나옴
  - 공격자는 저장소를 포크한 뒤 악성 셸 명령을 넣어 환경 변수 속 자격 증명을 빼냈고, 추적을 피하려고 자신이 만든 포크를 삭제한 것으로 전해짐

> [!WARNING]
> `pull_request_target`은 편한 만큼 위험함. 외부 기여자 코드와 저장소 비밀 값이 같은 실행 경로에 놓이면, CI가 공격자의 데이터 탈취 도구가 될 수 있음.

- 공격자는 유출한 소스코드를 공개하지 않는 대가로 금품을 요구했지만, 그라파나랩스는 지급을 거부함
  - 회사는 FBI가 공개적으로 권고해온 입장을 인용함
  - 돈을 내도 데이터가 반환된다는 보장이 없고, 오히려 비슷한 범죄를 부추길 수 있다는 논리임

- 이 사건이 묘하게 더 크게 보이는 이유는 그라파나랩스가 관측·모니터링 분야의 대표 기업이라는 점임
  - 그라파나(Grafana)는 인프라 상태를 보는 데 워낙 많이 쓰이는 오픈소스 도구임
  - 그래서 일부 커뮤니티에서는 “모니터링 회사가 자기 인프라 경보를 놓쳤냐”는 식의 반응도 나옴. 좀 아프지만, 포인트는 있음

- 핵심은 “소스코드는 공개될 수도 있다”가 아니라 “자동화 권한이 어디까지 열려 있었냐”임
  - 오픈소스 프로젝트는 외부 기여를 받아야 해서 CI 권한 설계가 까다로움
  - 비밀 값, 토큰, 워크플로 이벤트, 포크 PR 실행 정책을 같이 봐야 하는 이유가 여기서 나옴

---

## 기술 맥락

- 이번 사고에서 중요한 건 깃허브 액션이 단순 자동화 도구가 아니라 권한을 가진 실행 환경이라는 점이에요. 빌드와 테스트를 돌리는 척하면서도, 설정에 따라 저장소 토큰이나 배포 자격 증명에 접근할 수 있거든요.

- `pull_request_target`은 외부 기여자의 풀 리퀘스트를 검사할 때 자주 언급되는 기능이에요. 문제는 이 이벤트가 대상 저장소의 컨텍스트에서 실행될 수 있어서, 포크에서 온 코드와 민감한 비밀 값 사이의 경계가 흐려질 수 있다는 거예요.

- 그라파나랩스가 바로 토큰을 무효화한 이유도 여기 있어요. 토큰은 한 번 빠져나가면 공격자가 비공개 저장소, 내부 패키지, 배포 파이프라인까지 어디까지 접근했는지 확인해야 해서 사고 범위가 빠르게 커져요.

- 한국 개발팀도 오픈소스든 사내 저장소든 같은 문제를 만날 수 있어요. 특히 외부 PR을 받는 저장소라면 워크플로별 권한, 비밀 값 노출 조건, 포크 실행 정책을 따로 점검해야 해요.

## 핵심 포인트

- 깃허브 액션 워크플로 설정 실수가 토큰 유출로 이어짐
- 고객 데이터나 개인정보 침해 흔적은 현재까지 확인되지 않음
- 그라파나랩스는 공격자의 금품 요구를 거부하고 사후 점검 결과를 추후 공개할 예정

## 인사이트

이번 건은 소스코드 유출 자체보다 CI/CD 권한 설정이 공급망 보안의 실전 리스크라는 점이 더 큼. 오픈소스 인프라 강자도 깃허브 액션 설정 하나로 털릴 수 있다는 꽤 뼈아픈 사례임.