CISA, GitHub에 AWS 키 유출: 최악의 보안 사고 발생

사고의 주요 원인 중 하나는 GitHub에서 SSH 키(SSH Keys)나 기타 기밀 정보를 공개하는 것을 막는 기본 설정을 CISA 관리자가 의도적으로 비활성화(Disable)한 것이다. 이는 개발자가 자신의 코드 저장소(Code Repository)에 실수로 민감한 정보를 커밋하는 것을 방지하는 기본적인 보안 조치를 무시한 행위로, 데이터 미저장 정책(Zero-Retention Policy)을 준수하지 않은 심각한 보안 위협으로 이어진다.

유출된 정보에는 평문(Plaintext)으로 저장된 다수의 비밀번호가 포함되어 있었으며, 이는 CISA 내부 시스템의 보안 취약성을 드러낸다. 특히, AWS-Workspace-Firefox-Passwords.csv 파일에는 내부 시스템의 사용자 이름과 비밀번호가 평문으로 기록되어 있었다. 이러한 관행은 무차별 대입 공격(Brute-force Attack)이나 자격 증명 탈취(Credential Stuffing)와 같은 공격에 매우 취약하며, 데이터 격리 아키텍처(Data Isolation Architecture)를 무너뜨리는 결과를 초래할 수 있다.

유출된 AWS 키를 통해 CISA의 GovCloud 계정(GovCloud Accounts)에 대한 높은 수준의 접근 권한이 획득될 수 있었으며, 이는 잠재적인 공격자에게 심각한 위협을 제공한다. 공격자는 내부 시스템에 대한 초기 접근 권한을 얻은 후, 유출된 자격 증명을 사용하여 수평적 이동(Lateral Movement)을 시도할 수 있다. 특히, CISA의 코드 패키지 저장소(Code Package Repository)에 백도어를 삽입하여 지속적인 접근 권한을 유지할 수 있다.

CISA는 현재 사고에 대한 조사를 진행 중이며, 추가적인 보안 조치를 통해 재발 방지를 약속했다. 하지만, 유출된 AWS 키가 48시간 동안 유효했던 점은 CISA의 사고 대응 능력(Incident Response Capability)에 대한 의문을 제기한다. 이번 사고는 데이터 보안(Data Security)의 중요성을 다시 한번 강조하며, 모든 조직이 기본적인 보안 수칙을 철저히 준수해야 함을 보여준다.