AI 요약
미국 연방 사이버보안·인프라보안국(CISA)의 심각한 자격 증명 유출 사건으로 인해 미 의회가 대대적인 해명을 요구하고 나섰습니다. 보안 매체 'KrebsOnSecurity'의 보도에 따르면, CISA 코드 개발 플랫폼의 관리자 권한을 가진 한 계약업체 직원이 'Private-CISA'라는 공개 GitHub 계정을 생성하고 AWS GovCloud 키를 비롯한 수십 개의 CISA 내부 시스템 평문 자격 증명을 노출시켰습니다. 분석 결과, 해당 직원은 민감 정보의 유출을 방지하는 GitHub의 내장 보안 경고 기능마저 인위적으로 비활성화한 채 코드를 업로드한 것으로 확인되었습니다. 이 사건은 최근 트럼프 행정부의 압박으로 인해 CISA 인력의 3분의 1 이상과 고위 지도부 대부분이 조기 퇴직 등으로 이탈한 조직적 혼란 상황 속에서 발생했습니다. 이에 따라 상원 매기 해선(Maggie Hassan) 의원과 하원 베니 톰슨(Bennie Thompson) 의원 등은 CISA의 보안 문화 쇠퇴와 외주 계약업체 통제력 상실에 심각한 우려를 표명하며 공식 조사를 요청했습니다.
핵심 인사이트
- 사고 유출 경로: CISA의 외주 계약업체 직원이 2025년 11월 생성한 공개 GitHub 리포지토리('Private-CISA')를 개인 작업 메모장처럼 사용하면서 민감 정보를 대거 유출했습니다.
- 의회의 해명 서한 발송: 2026년 5월 19일, 매기 해선 상원의원과 베니 톰슨 하원의원은 각각 닉 앤더슨(Nick Andersen) CISA 소장 대행에게 유출 경위와 대책을 묻는 서한을 발송했습니다.
- CISA 조직의 내부 혼란: 이번 사건은 CISA 내부적으로 강제 조기 퇴직, 인수합병, 사직 등으로 조직 인력의 3분의 1 이상이 감소하고 핵심 지도부가 공석이 된 불안정한 시기에 발생했습니다.
주요 디테일
- 보안 기능 의도적 비활성화: 코드 저장소의 커밋 로그에 따르면 해당 직원은 GitHub에 탑재된 자격 증명 자동 노출 방지(built-in protection) 기능을 인위적으로 끄고 자격 증명을 업로드했습니다.
- 노출된 자격 증명의 종류: 대외비인 AWS GovCloud 키와 더불어 수십 개의 CISA 내부 개발 및 관리 시스템에 직접 접속할 수 있는 평문(plaintext) 비밀번호가 그대로 공개되었습니다.
- CISA의 수습 및 입장: CISA는 데이터 노출 사실을 인정하면서도 현재까지 민감한 데이터가 실제로 침해되거나 악용되었다는 징후는 발견되지 않았다고 해명했습니다.
- 국가 안보 위협 제기: 베니 톰슨 하원의원은 중국, 러시아, 이란 등 미국의 국가 인프라 네트워크 침투를 노리는 적대국들에게 이번 유출 파일이 핵심적인 통로를 제공할 뻔했다며 엄중한 상황임을 경고했습니다.
향후 전망
- CISA는 이미 노출된 모든 AWS 키 및 내부 시스템의 자격 증명을 폐기하고 무효화(Invalidate)하는 수습 작업을 지속할 것입니다.
- 미 의회 차원에서 연방 사이버보안을 총괄하는 CISA의 자체 보안 기강 확립과 외부 계약업체(Contractor)의 권한 통제 메커니즘에 대한 대대적인 청문회나 보안 프레임워크 개편 요구가 뒤따를 것으로 전망됩니다.