CISA가 데이터 유출을 수습하려 노력하는 가운데 의원들이 답변을 요구하다

이번 주 KrebsOnSecurity가 CISA의 계약업체가 AWS GovCloud 키와 기타 기관의 방대한 비밀 정보를 공개적인 GitHub 계정에 의도적으로 게시했다고 보도한 이후, 의회 양원 의원들이 미국 사이버보안 및 인프라 보안국 (CISA)에 답변을 요구하고 있습니다. 이번 조사는 CISA가 여전히 침해 사고를 수습하고 유출된 자격 증명 (credentials)을 무효화하기 위해 고군분투하고 있는 가운데 이루어졌습니다.

5월 18일, KrebsOnSecurity는 기관의 코드 개발 플랫폼에 대한 관리자 권한을 가진 CISA 계약업체가 수십 개의 내부 CISA 시스템에 대한 평문 자격 증명 (plaintext credentials)이 포함된 "Private-CISA"라는 공개 GitHub 프로필을 생성했다고 보도했습니다. 노출된 비밀 정보를 검토한 전문가들은 해당 코드 저장소 (repository)의 커밋 로그 (commit logs)를 통해, CISA 계약업체가 공개 저장소에 민감한 자격 증명을 게시하는 것을 방지하는 GitHub의 내장 보호 기능을 비활성화했음을 확인했다고 밝혔습니다.

CISA는 유출 사실을 인정했으나, 데이터 노출 기간에 대한 질문에는 응답하지 않았습니다. 그러나 현재는 폐쇄된 Private-CISA 아카이브를 검토한 전문가들은 해당 프로필이 원래 2025년 11월에 생성되었으며, 관리된 프로젝트 저장소라기보다는 개별 운영자가 작업용 메모장 (scratchpad) 또는 동기화 메커니즘으로 사용하는 것과 일치하는 패턴을 보인다고 말했습니다.

서면 성명에서 CISA는 "이번 사건의 결과로 민감한 데이터가 침해되었다는 징후는 없다"라고 밝혔습니다. 하지만 5월 19일 CISA의 직무 대행 Nick Andersen에게 보낸 서신 (PDF)에서, Maggie Hassan 상원의원 (민주당-NH)은 이번 자격 증명 유출이 사이버 침해 예방을 돕는 임무를 맡은 바로 그 기관에서 어떻게 이러한 보안 과실이 발생할 수 있는지에 대해 심각한 의문을 제기한다고 말했습니다.

"이 보도는 미국의 핵심 인프라에 대한 중대한 사이버 보안 위협이 존재하는 시기에 CISA의 내부 정책 및 절차에 대한 심각한 우려를 불러일으킵니다."라고 Hassan 의원은 작성했습니다.

5월 19일, Margaret Hassan 상원의원(D-NH)이 CISA의 직무대행에게 보낸 서한에서는 이번 침해 사고와 관련하여 12가지 질문에 대한 답변을 요구했습니다.

Hassan 의원은 이번 사건이 CISA 내부의 중대한 혼란을 배경으로 발생했다는 점에 주목했습니다. Trump 행정부가 기관 내 여러 부서에 걸쳐 일련의 조기 퇴직, 명예퇴직(buyouts), 사직을 강요한 이후, CISA는 인력의 3분의 1 이상과 거의 모든 고위 지도부를 잃었습니다.

하원 국토안보위원회(House Homeland Security Committee)의 간사인 Bennie Thompson 의원(D-MS)도 상원의원의 우려에 공감했습니다.

Thompson 의원은 해당 위원회의 사이버 보안 및 인프라 보호 소위원회(Subcommittee on Cybersecurity and Infrastructure Protection) 간사인 Delia Ramirez 의원(D-Ill)과 공동 서명하여 CISA 직무대행에게 보낸 5월 19일자 서한에서 "우리는 이번 사건이 약화된 보안 문화 및/또는 CISA의 적절한 계약 지원 관리 능력 부족을 반영하고 있는 것은 아닌지 우려하고 있습니다"라고 작성했습니다. 또한 "중국, 러시아, 이란과 같은 우리의 적대국들이 연방 네트워크에 대한 접근 권한을 얻고 지속적으로 머무르는 것을 목표로 한다는 것은 비밀이 아닙니다. 'Private-CISA' 저장소(repository)에 포함된 파일들은 바로 그 일을 수행할 수 있는 정보, 접근 권한, 그리고 로드맵을 제공했습니다"라고 덧붙였습니다.

KrebsOnSecurity는 보안 기업인 GitGuardian으로부터 CISA가 데이터 유출 사실을 처음 통지받은 지 일주일이 넘었음에도 불구하고, 해당 기관이 노출된 많은 키(keys)와 비밀 정보(secrets)를 무효화하고 교체하기 위해 여전히 작업 중이라는 사실을 확인했습니다.

5월 20일, KrebsOnSecurity는 GitHub 및 기타 공개 플랫폼에 호스팅된 코드에 숨겨진 개인 키(private keys) 및 기타 비밀 정보를 찾아내는 오픈 소스 도구인 TruffleHog의 제작자, Dylan Ayrey로부터 소식을 들었습니다. Ayrey는 CISA가 Private-CISA 저장소에서 노출된 RSA 개인 키(RSA private key)를 아직 무효화하지 않았다고 말했습니다. 이 키는 CISA 엔터프라이즈 계정이 소유하고 CISA-IT GitHub 조직에 설치된 GitHub 앱에 대한 접근 권한을 부여하며, 해당 앱은 모든 코드 저장소에 대한 전체 접근 권한을 가지고 있습니다.

“이 키를 가진 공격자는 비공개 저장소(private repos)를 포함하여 CISA-IT 조직 내 모든 저장소의 소스 코드를 읽을 수 있고, rogue self-hosted runners를 등록하여 CI/CD 파이프라인을 하이재킹하고 저장소 비밀값(repository secrets)에 접근할 수 있으며, 브랜치 보호 규칙(branch protection rules), 웹훅(webhooks), 배포 키(deploy keys)를 포함한 저장소 관리자 설정을 수정할 수 있습니다.”라고 Ayrey는 KrebsOnSecurity에 말했습니다. CI/CD는 지속적 통합(Continuous Integration) 및 지속적 제공(Continuous Delivery)의 약자로, 소프트웨어의 빌드, 테스트 및 배포를 자동화하는 데 사용되는 일련의 관행을 의미합니다.

KrebsOnSecurity는 5월 20일에 Ayrey의 발견 사항을 CISA에 통지했습니다. Ayrey는 CISA가 해당 통지 이후 어느 시점에 노출된 RSA 개인 키(private key)를 무효화한 것으로 보인다고 말했습니다. 하지만 그는 CISA가 기관의 기술 포트폴리오 전반에 걸쳐 배포된 다른 핵심 보안 기술과 연결된 유출된 자격 증명(credentials)은 여전히 교체(rotate)하지 않았다고 지적했습니다 (KrebsOnSecurity는 당분간 해당 기술들의 이름을 공개하지 않습니다).

CISA는 Ayrey의 발견 사항에 대한 질문에 대해 짧은 서면 성명을 통해 다음과 같이 답변했습니다. “CISA는 식별된 모든 유출된 자격 증명이 교체되고 무효화되도록 적절한 당사자 및 벤더와 적극적으로 대응하고 협력하고 있으며, 시스템 보안을 보호하기 위해 적절한 조치를 계속 취할 것입니다.”

Ayrey는 그의 회사인 Truffle Security가 GitHub 및 기타 여러 코드 플랫폼을 모니터링하여 노출된 키를 감시하며, 영향을 받는 계정에 민감한 데이터 노출에 대해 경고하려고 시도한다고 말했습니다. GitHub의 경우 플랫폼이 모든 커밋(commit)과 공개 코드 저장소의 변경 사항 기록을 포함하는 라이브 피드(live feed)를 게시하기 때문에 이를 쉽게 수행할 수 있습니다. 하지만 그는 사이버 범죄 행위자들 또한 이러한 공개 피드를 모니터링하며, 코드 커밋에 부주의하게 게시된 API 또는 SSH 키를 포착하는 데 매우 빠르다고 말했습니다.

Private-CISA GitHub 저장소는 중요한 CISA GovCloud 리소스에 대한 수십 개의 평문 자격 증명(plaintext credentials)을 노출했습니다.

실질적인 관점에서 볼 때, 사이버 범죄 집단이나 외국 적대 세력 또한 이러한 CISA의 비밀 정보(secrets)가 공개된 것을 인지했을 가능성이 높으며, 그중 가장 심각한 사례는 2026년 4월 말에 발생한 것으로 보인다고 Ayrey는 말했습니다.

“우리는 키(keys)를 찾기 위해 그 방대한 데이터 흐름(firehose of data)을 모니터링하고 있으며, 그것이 누구의 것인지 파악하기 위한 도구들을 보유하고 있습니다”라고 그는 말했습니다. “공격자들 또한 그 데이터 흐름을 모니터링하고 있다는 증거가 있습니다. GitHub 이벤트를 모니터링하는 사람이라면 누구나 이 정보를 확보하고 있을 수 있습니다.”

보안 팟캐스트 Risky Business의 기업 기술 에디터인 James Wilson은 코드 프로젝트를 관리하기 위해 GitHub을 사용하는 조직들이 직원이 비밀 키(secret keys) 및 자격 증명(credentials)의 공개를 방지하는 GitHub의 보호 기능을 비활성화하지 못하도록 하는 하향식 정책(top-down policies)을 설정할 수 있다고 말했습니다. 하지만 Wilson의 공동 진행자인 Adam Boileau는 어떤 기술로도 직원이 개인 GitHub 계정을 만들어 민감하고 독점적인 정보를 저장하는 것을 막을 수 있을지는 불분명하다고 말했습니다.

“궁극적으로 이것은 기술적 통제(technical control)로 해결할 수 없는 문제입니다”라고 Boileau는 이번 주 팟캐스트에서 말했습니다. “이것은 인간의 문제입니다. 이 업무를 수행하기 위해 계약업체를 고용했는데, 그들이 자신의 의지에 따라 업무용 기기의 콘텐츠를 개인용 기기로 동기화하기 위해 GitHub을 사용하기로 결정한 상황입니다. 이것이 아마도 CISA가 관리하거나 가시성을 확보한 범위를 벗어나서 이루어지고 있다는 점을 고려할 때, 어떤 기술적 통제를 도입할 수 있을지 모르겠습니다.”

업데이트, 동부 표준시 오후 3:05: CISA의 성명을 추가했습니다. 기사 내 날짜를 수정했습니다 (Truffle Security는 해당 저장소가 가장 민감한 비밀 정보 중 일부를 2025년이 아닌 2026년 4월 말에 노출했다는 것을 발견했다고 밝혔습니다).