개발 기반을 통한 해킹 범죄를 선제적으로 예방하기 위한 위협 정보 및 대응 방안 안내
경찰청 국가수사본부는 국내외 기업 및 개발자들이 사용하는 소프트웨어 개발 기반인 깃허브(GitHub)의 계정의 접속 권한 다수가 외부에 유출된 사실을 최근 확인하고, 추가 피해 발생을 막기 위해 긴급 보안 조치 및 권고사항을 포함한 보안 권고문을 배포한다고 밝혔다.
이번에 유출된 정보는 깃허브의 ‘개인 액세스 토큰(PAT, Personal Access Token)’으로, 사용자가 깃허브의 비공개 저장소에 접근하기 위해 사용하는 인증수단이다. 공격자가 이를 악용해 피해자의 저장소에 접근할 경우 정보통신시스템 접속에 필요한 정보를 입수할 수 있으며, 다시 이를 통해 개인 또는 기업의 주요 시스템에 침입한 뒤 개인 정보나 기업 기밀 등 민감한 중요 자료를 탈취할 가능성이 있으므로 각별한 주의가 요구된다.
깃허브 비공개 저장소를 사용하는 모든 기업과 개인은 접속 권한 유출에 따른 침해가 생겼는지 확인하기 위해 무단으로 접근됐는지를 점검해야 한다. 이와 함께, 기존에 발급된 개인 액세스 토큰을 즉시 폐기하고 새롭게 재발급받아야 한다.
또한 추가 해킹 피해를 예방하기 위해서는 ▲접근 권한 다중 인증화, 최소화, 세분화 ▲소스 코드 내 주요 시스템 접속 정보 기재 금지 ▲개발자 피시(PC) 보안 상태에 대한 주기적인 점검 등 기본적인 보안 수칙 준수가 무엇보다 중요하다.
경찰은 깃허브 접속 권한 유출 사건에 대한 수사를 진행하고 있으며, 유출된 개인 액세스 토큰 사용자들과 깃허브 측에 보안 조치를 하도록 통보했다. 깃허브 측은 ‘유출된 개인 액세스 토큰 폐기 및 유출된 개인 액세스 토큰의 이용자들에 대한 경보’ 등 보안 조치를 수행했다 통지했다.
아울러, 경찰은 추가 위협 정보가 확인되는 대로 관계 기관 및 기업에 신속하게 공유하는 한편, 유사한 사이버 공격에 대비해 민·관 협력체계를 강화하고 대응 역량을 지속해서 높여 나갈 방침이다.
경찰청 박우현 사이버수사심의관은 “공격자들이 기업의 정보통신망뿐만 아니라 개발 기반을 공격 대상으로 삼는 것을 적발한 사례로, 기업과 개인 개발자들의 신속한 보안 조치가 반드시 필요하다.”라며, “범죄 피해가 발생했거나 의심 징후 발견 시 즉시 신고해 주시길 부탁드린다.”라고 당부했다
![]() |
| ▲ 경찰청 |
경찰청 국가수사본부는 국내외 기업 및 개발자들이 사용하는 소프트웨어 개발 기반인 깃허브(GitHub)의 계정의 접속 권한 다수가 외부에 유출된 사실을 최근 확인하고, 추가 피해 발생을 막기 위해 긴급 보안 조치 및 권고사항을 포함한 보안 권고문을 배포한다고 밝혔다.
이번에 유출된 정보는 깃허브의 ‘개인 액세스 토큰(PAT, Personal Access Token)’으로, 사용자가 깃허브의 비공개 저장소에 접근하기 위해 사용하는 인증수단이다. 공격자가 이를 악용해 피해자의 저장소에 접근할 경우 정보통신시스템 접속에 필요한 정보를 입수할 수 있으며, 다시 이를 통해 개인 또는 기업의 주요 시스템에 침입한 뒤 개인 정보나 기업 기밀 등 민감한 중요 자료를 탈취할 가능성이 있으므로 각별한 주의가 요구된다.
깃허브 비공개 저장소를 사용하는 모든 기업과 개인은 접속 권한 유출에 따른 침해가 생겼는지 확인하기 위해 무단으로 접근됐는지를 점검해야 한다. 이와 함께, 기존에 발급된 개인 액세스 토큰을 즉시 폐기하고 새롭게 재발급받아야 한다.
또한 추가 해킹 피해를 예방하기 위해서는 ▲접근 권한 다중 인증화, 최소화, 세분화 ▲소스 코드 내 주요 시스템 접속 정보 기재 금지 ▲개발자 피시(PC) 보안 상태에 대한 주기적인 점검 등 기본적인 보안 수칙 준수가 무엇보다 중요하다.
경찰은 깃허브 접속 권한 유출 사건에 대한 수사를 진행하고 있으며, 유출된 개인 액세스 토큰 사용자들과 깃허브 측에 보안 조치를 하도록 통보했다. 깃허브 측은 ‘유출된 개인 액세스 토큰 폐기 및 유출된 개인 액세스 토큰의 이용자들에 대한 경보’ 등 보안 조치를 수행했다 통지했다.
아울러, 경찰은 추가 위협 정보가 확인되는 대로 관계 기관 및 기업에 신속하게 공유하는 한편, 유사한 사이버 공격에 대비해 민·관 협력체계를 강화하고 대응 역량을 지속해서 높여 나갈 방침이다.
경찰청 박우현 사이버수사심의관은 “공격자들이 기업의 정보통신망뿐만 아니라 개발 기반을 공격 대상으로 삼는 것을 적발한 사례로, 기업과 개인 개발자들의 신속한 보안 조치가 반드시 필요하다.”라며, “범죄 피해가 발생했거나 의심 징후 발견 시 즉시 신고해 주시길 부탁드린다.”라고 당부했다
[저작권자ⓒ 프레스뉴스. 무단전재-재배포 금지]
댓글 0

사회
경산시, '반려식물 활용 치유농업 프로그램' 성과공유회 개최
프레스뉴스 / 26.07.14

경제일반
고성군, 고성 제2특화농공단지 조성사업 토석채취장 현장시찰
프레스뉴스 / 26.07.14

경제일반
함평군, 민선 9기 ‘함평 대전환 정책 점검 회의’ 본격 돌입
프레스뉴스 / 26.07.14

경제일반
고성군, 여름 휴가철 질서 확립 및 관광객 편의 대책 수립으로‘다시 찾고 싶은 고...
프레스뉴스 / 26.07.14

경제일반
완주군, 민선 9기 첫 투자유치 포문… ㈜한솔케미칼 1,000억 원 확정
프레스뉴스 / 26.07.14

문화
장성군, 명품 가족 뮤지컬 ‘목 짧은 기린 지피’ 공연
프레스뉴스 / 26.07.14

사회
최교진 교육부장관, 생태전환교육 및 태양광 설비 우수학교 방문
프레스뉴스 / 26.07.14




















































