CISA, AWS GovCloud 키 유출: 보안 관리 부실 드러나

사건의 핵심은 CISA 계약업체가 GitHub의 기본 설정을 변경하지 않아 SSH 키 및 기타 중요 정보가 공개적으로 노출된 것이다. 특히, GitHub의 비밀 탐지 기능(Secrets Detection Feature)을 비활성화한 점은 심각한 보안 의식 부재를 보여준다. 평문으로 저장된 비밀번호(Plaintext Passwords), Git 백업(Git Backups) 등 기본적인 보안 수칙조차 지켜지지 않았다.

유출된 정보에는 AWS GovCloud 계정(AWS GovCloud Accounts)에 대한 관리자 권한(Administrative Credentials)이 포함되어 있어, 잠재적인 피해 규모가 매우 크다. 또한, CISA 내부 시스템인 'LZ-DSO'에 대한 평문 자격 증명(Plaintext Credentials)도 노출되어, 공격자가 내부 시스템에 침투할 수 있는 경로가 열렸다. 이는 데이터 격리 아키텍처(Data Isolation Architecture) 부재를 보여주는 사례이다.

이번 사건은 계약업체의 개인적인 실수(Individual's Mistake)로 치부하기에는 내부 통제 시스템(Internal Control System)의 실패가 컸다. CISA 관련 이메일 주소(CISA-associated Email Address)와 개인 이메일 주소(Personal Email Address)를 함께 사용한 점은, 보안 환경에 대한 이해 부족을 보여준다. 또한, 2025년 11월(November 2025)까지 GitHub에 지속적으로 커밋(Commit)한 점은, 보안 의식 부재를 더욱 강조한다.

댓글에서는 OpenAI, Anthropic과 같은 LLM(Large Language Model)에 .env 파일(Environment Variables) 또는 디스크에 저장된 비밀 정보(Secrets on Disk)를 전달하는 위험성을 지적한다. LLM은 이러한 정보를 학습 데이터(Training Data)로 활용할 수 있으며, 이는 심각한 정보 유출로 이어질 수 있다. 따라서, SOPS 또는 Vault와 같은 도구를 사용하여 데이터 미저장 정책(Zero-Retention Policy)을 준수해야 한다.