AI 요약
깃허브(GitHub)는 2026년 5월 20일, 소속 직원이 악성 VS Code 확장 프로그램을 설치하면서 약 3,800개의 내부 리포지토리가 유출되는 보안 침해 사고를 겪었다고 공식 발표했습니다. 조사 결과 이번 공격은 깃허브 내부 소스코드 리포지토리 탈취에 국한되었으며, 외부 고객 데이터에는 영향이 없는 것으로 파악되었습니다. 이번 침해의 배후를 자처한 해커 그룹 'TeamPCP'는 사이버 범죄 포럼인 'Breached'를 통해 최소 5만 달러(USD)에 탈취한 데이터를 판매하겠다고 제안했습니다. 이들은 과거에도 PyPI, NPM, Docker 등 개발자 플랫폼을 겨냥한 공급망 공격을 수행한 전력이 있는 악명 높은 그룹입니다. 이번 사건은 공식 마켓플레이스에 등록된 개발 툴의 취약성을 악용한 대표적인 공급망 공격 사례로, 개발자 환경 보안에 심각한 경종을 울리고 있습니다.
핵심 인사이트
- 대규모 소스코드 유출: 깃허브 직원의 엔드포인트 기기가 감염되어 약 3,800개의 내부 리포지토리가 외부에 유출되었습니다.
- 해커의 금전 요구: 해커 그룹 'TeamPCP'는 탈취한 데이터의 대가로 최소 5만 달러($50,000)를 요구하며 'Breached' 포럼에 글을 게재했습니다.
- 침해 경로: 이번 사건은 공식 VS Code 마켓플레이스에 등록되어 유포된 트로이목마형(Trojanized) 악성 확장 프로그램을 통해 발생했습니다.
- 배후 세력의 이력: 'TeamPCP'는 과거 OpenAI 직원 2명에게 피해를 준 'Mini Shai-Hulud' 캠페인 및 PyPI, NPM, Docker 공급망 공격과 연관된 조직입니다.
주요 디테일
- 즉각적인 대응 조치: 깃허브는 위협을 탐지한 즉시 마켓플레이스에서 해당 악성 확장 프로그램을 제거하고, 감염된 직원의 기기를 격리하며 사고 대응에 착수했습니다.
- 피해 범위 검증: 해커가 주장하는 '약 4,000개 사설 코드 리포지토리' 수치는 깃허브 자체 조사 결과 확인된 3,800개 규모와 방향성 측면에서 일치하는 것으로 확인되었습니다.
- 해커의 협박 방식: 이들은 랜섬웨어 방식의 협박이 아니며, 단 한 명의 구매자에게만 데이터를 판매한 뒤 자신들이 보유한 데이터를 파기하고 은퇴하겠다는 주장을 펼쳤습니다.
- 과거 유사 보안 사건: 지난해에도 총 900만 회 설치된 VS Code 확장 프로그램들이 보안 위험으로 강제 삭제되었으며, 가상자산 채굴기인 'XMRig'가 포함된 사례도 있었습니다.
- 화이트코브라 및 AI 위장 공격: 과거 'WhiteCobra'라는 공격자가 24개의 암호화폐 탈취 확장 프로그램을 유포한 적이 있으며, 최근 1월에는 AI 코딩 어시스턴트로 위장해 150만 회 다운로드된 악성 플러그인이 적발되기도 했습니다.
향후 전망
- 마켓플레이스 검증 강화: 마이크로소프트의 VS Code 마켓플레이스 내 확장 프로그램 등록 절차와 실시간 보안 심사가 한층 더 엄격해질 것으로 보입니다.
- 개발자 보안 통제 의무화: 기업들은 개발자 PC(엔드포인트)에 무분별한 서드파티 플러그인이 설치되지 않도록 차단하거나, EDR 및 솔루션을 통한 모니터링을 대폭 강화할 전망입니다.