--- title: "깃허브 내부 저장소 3,800개, 악성 VS Code 확장 때문에 털렸다" published: 2026-05-20T13:43:37.000Z canonical: https://jeff.news/article/2952 --- # 깃허브 내부 저장소 3,800개, 악성 VS Code 확장 때문에 털렸다 깃허브 직원이 악성 VS Code 확장을 설치하면서 내부 저장소 약 3,800개가 유출된 것으로 확인됐다. 고객 데이터가 외부 저장소에서 영향받았다는 증거는 아직 없지만, 개발자 도구 확장이 공급망 공격의 진입점이 될 수 있다는 경고로 보기 충분하다. - 깃허브가 내부 저장소 약 3,800개 유출을 확인함 - 원인은 직원 한 명이 설치한 악성 VS Code 확장으로 파악됨 - 깃허브는 해당 확장을 VS Code 마켓플레이스에서 제거했고, 감염된 직원 기기도 격리했다고 밝힘 - 현재 판단으로는 깃허브 내부 저장소 유출에 한정되며, 영향받은 저장소 밖의 고객 데이터가 털렸다는 증거는 없다고 함 - 공격자 측 주장과 깃허브 조사 규모가 대체로 맞아떨어지는 분위기임 - TeamPCP라는 해커 그룹이 사이버범죄 포럼에서 깃허브 소스코드와 약 4,000개 비공개 코드 저장소에 접근했다고 주장함 - 이들은 훔친 데이터에 최소 5만 달러를 요구했고, 구매자가 없으면 무료로 유출하겠다는 식의 메시지를 남김 - 깃허브도 공격자가 주장한 약 3,800개 저장소 규모가 현재 조사와 방향상 일치한다고 인정함 > [!WARNING] > 공식 마켓플레이스에 있는 확장이라고 안전하다고 보면 안 됨. 개발자 도구 확장은 로컬 코드, 토큰, 내부 저장소 접근권과 붙어 있어서 한 번 뚫리면 피해 반경이 바로 커짐. - TeamPCP는 개발자 생태계 공급망 공격과 이미 연결된 이력이 있음 - 과거 GitHub, PyPI, NPM, Docker 같은 개발자 코드 플랫폼을 노린 대규모 공급망 공격과 연관됐다고 보도됨 - 최근에는 Mini Shai-Hulud 공급망 캠페인과도 연결됐고, 이 캠페인은 오픈AI 직원 2명에게도 영향을 줬다고 언급됨 - VS Code 확장 생태계는 예전부터 공격자들이 좋아하던 표적임 - VS Code 확장은 마이크로소프트의 코드 에디터에 기능을 붙이는 플러그인이고, 공식 마켓플레이스에서 설치됨 - 하지만 지난 몇 년 동안 개발자 자격증명과 민감 데이터를 훔치는 악성 확장이 여러 차례 발견됨 - 작년에는 설치 수 900만 회 규모의 VS Code 확장들이 보안 위험으로 제거됐고, 정상 개발 도구처럼 위장한 확장 10개가 XMRig 암호화폐 채굴기를 심은 사례도 있었음 - 또 WhiteCobra라는 공격자가 암호화폐 탈취 확장 24개를 대량으로 올린 뒤, 기본적인 랜섬웨어 기능을 가진 악성 확장이 마켓플레이스에 숨어든 적도 있음 - 올해 1월에는 AI 코딩 도우미처럼 홍보된 악성 확장 2개가 150만 설치 수를 기록했고, 감염된 개발자 시스템의 데이터를 중국 서버로 빼냈다고 보도됨 - 깃허브의 규모를 생각하면 이 사고는 그냥 내부 해프닝으로 보기 어렵다 - 깃허브는 400만 개 이상 조직이 쓰고, 포춘 100대 기업의 90%가 포함됨 - 개발자는 1억 8천만 명 이상, 저장소는 4억 2천만 개 이상임 - 이런 플랫폼의 내부 저장소가 개발자 확장 하나로 유출됐다는 건, 조직의 개발 환경 보안이 제품 보안만큼 중요하다는 신호임 --- ## 기술 맥락 - 이번 사고의 핵심은 VS Code 확장이 단순한 UI 편의 기능이 아니라 개발자 엔드포인트에서 실행되는 코드라는 점이에요. 확장이 워크스페이스 파일, 터미널, 인증 토큰 주변에 접근할 수 있으면 공격자 입장에선 내부망 문 앞까지 온 셈이거든요. - 팀 차원에서 봐야 할 선택은 “개발자 자율 설치”와 “허용 목록 기반 관리” 사이예요. 전자는 생산성이 좋지만 검증되지 않은 확장이 들어오기 쉽고, 후자는 조금 번거롭지만 민감 저장소와 토큰을 다루는 조직에선 사고 반경을 줄이는 데 훨씬 유리해요. - 공식 마켓플레이스도 완전한 보안 경계가 아니에요. 원문에 나온 사례처럼 수백만 설치 수를 가진 확장도 제거된 적이 있고, AI 코딩 도우미처럼 그럴듯한 이름을 달고 데이터 유출을 한 확장도 있었어요. 다운로드 수와 별점만으로 신뢰를 판단하면 위험해요. - 실무적으로는 확장 설치 감사, 토큰 권한 최소화, 개발자 기기 탐지, 비정상 저장소 접근 모니터링이 같이 가야 해요. 악성 확장을 100% 막기 어렵다면, 설치 이후에 내부 코드가 대량으로 빠져나가는 흐름을 빨리 잡는 쪽도 같이 설계해야 하거든요. ## 핵심 포인트 - 깃허브는 직원 기기 하나가 악성 VS Code 확장에 감염됐고 내부 저장소가 유출됐다고 확인함 - 공격자 TeamPCP는 약 4,000개 비공개 코드 저장소를 확보했다고 주장하며 최소 5만 달러를 요구함 - VS Code 마켓플레이스에는 과거에도 수백만 설치 수를 가진 악성 확장, 암호화폐 채굴기, 랜섬웨어성 확장이 올라온 적이 있음 - 깃허브는 1억 8천만 개발자와 4억 2천만 개 이상 저장소가 쓰는 플랫폼이라 파장이 큼 ## 인사이트 이건 남의 회사 사고로 넘기기 어렵다. 한국 개발팀도 VS Code 확장 설치가 사실상 개인 판단에 맡겨진 경우가 많아서, IDE 플러그인이 곧 공급망 공격 표면이라는 걸 팀 정책으로 다뤄야 할 때다.