깃허브 액션의 CI/CD 플랫폼을 사용하는 정보 보안 책임자는 빠르게 코드를 삭제해야 한다. 스텝시큐리티에 따르면 3월 14일 tj-actions/changed-files 유틸리티의 45.0.7까지의 모든 버전이 위협 행위자에 의해 수정되었다.

일반적으로 이 도구는 개발자가 저장소에서 파일 변경 사항을 감지하는 데 도움이 되지만, 깃허브의 권고에 따르면 원격 공격자가 액션 로그를 읽음으로써 API 키, 액세스 토큰, 비밀번호와 같은 비밀 정보를 발견할 수 있도록 하는 악성 파이썬 스크립트를 실행한다. 이 취약점은 CVE-2025-30066으로 지정되었다.

엔도어 랩(Endor Labs)의 보고서에 따르면, 이 유틸리티는 2만 3,000개가 넘는 깃허브 저장소에서 사용되고 있으며 수천 개의 CI 파이프라인에 영향을 미칠 수 있다.

깃허브는 3월 16일까지 이 도구DML 액세스를 차단하고 패치된 버전으로 대체했다.

CI/CD 파이프라인 취약점

엔도어 랩은 CI 파이프라인의 일부로 패키지나 컨테이너를 생성하는 모든 공개 저장소가 영향을 받을 수 있다고 경고한다. 수천 개의 오픈소스 패키지가 손상되었을 가능성이 있음을 의미한다.

엔도어에 따르면 공격자의 목표는 공개 저장소가 아닐 가능성이 높다. 그보다는 여기에서 생성된 다른 오픈소스 라이브러리, 바이너리, 아티팩트의 소프트웨어 공급망을 손상시키려고 했을 가능성이 크다.

엔도어는 개인 저장소와 공개 저장소를 모두 쓰는 개발팀을 대상으로, 만약 기업의 저장소가 아티팩트나 컨테이너 레지스트리에 대한 CI/CD 파이프라인 정보를 공유한다면 레지스트리 손상 위험이 있다고 경고했다.

또한 “현재로서는 다운스트림 오픈소스 라이브러리나 컨테이너가 영향을 받았다는 증거는 없다. 그러나 오픈소스 관리자와 보안 커뮤니티가 2차 피해 가능성을 주시하는 데 동참할 것을 촉구한다”라고 덧붙였다.

월요일 인터뷰에서 엔도르 랩스의 CTO인 디미트리 스틸리아디스는 tj-actions 도구를 사용한 애플리케이션의 피해 위험이 있다고 말했다. 또한, 도커 허브나 다른 오픈소스 저장소에서 훔친 자격 증명을 사용해 다른 소프트웨어 패키지에 액세스하고 멀웨어를 삽입할 수 있다고 덧붙였다.

스틸리아디스는 “아무도 알지 못하는 멀웨어에 감염된 패키지가 있을 수 있다. 현재로서는 실제 피해 규모를 정확히 예측할 수 없다. 앞으로 며칠 안에 알게 될 것”이라고 경고했다.

위즈 위협 연구소의 연구진은 블로그에서 민감한 기밀 정보가 노출된 영향을 받은 공개 저장소 수십 곳을 확인했으며, 영향을 받은 당사자들에게 연락하고 있다고 말했다.

깃허브 권고

저장소가 영향을 받았는지 확인하기 위해 의심스러운 IP 주소에 대한 깃허브 로그를 감사해야 한다. 만약 발견된다면, 해당 저장소의 활성 비밀번호를 교체해야 한다.

위즈 위협 연구소는 또한 깃허브 권고안에 따라, 개발자는 버전 태그 대신 특정 커밋 해시에 모든 깃허브 액션을 고정해 향후 공급망 공격에 대비해야 한다고 말했다. 또한, 깃허브의 허용 목록 기능을 사용해 승인되지 않은 깃허브 액션의 실행을 차단하고 신뢰할 수 있는 액션만 허용하도록 깃허브를 구성해야 한다.

매우 심각한 사건

스텝시큐리티의 CEO 바룬 샤르마는 “매우 심각한 사건”이라고 발표했다. CI/CD 환경을 위한 엔드포인트 탐지 및 대응 도구를 개발하는 스텝시큐리티는 tj-actions/changed-files를 사용하는 워크플로에서 비정상적인 아웃바운드 네트워크 연결을 발견하고, 빌드 로그에 CI/CD 자격 증명을 노출하는 악성 버전의 도구가 삽입되었다는 사실을 깃허브에 알렸다.

샤르마는 원본은 복구되었지만 왜 손상되었는지는 분명하지 않다며, 기업의 정보보안 또는 개발 리더에게 다음과 같이 권고했다.

• 워크플로에서 tj-actions/changed-files가 사용된 위치를 검토한다.
• 손상된 버전이 CI/CD 파이프라인에서 사용되었는지 확인한다.
• 영향을 받은 경우, API 키, 액세스 토큰, 비밀번호를 포함한 노출된 자격 증명을 즉시 교체한다.
• 해당 도구를 안전한 대안으로 전환하거나 패치된 버전으로 업그레이드한다.

깃허브 활용에 앞서 보안 태세 정비해야

해커는 개발 중인 소프트웨어를 손상시키는 것이 한 번에 하나의 애플리케이션을 해킹하는 것보다 다양한 IT 환경에 침투할 수 있는 효율적인 방법이라는 것을 알고 있다. 깃허브와 NPM, 깃랩, 루비 온 레일즈, 파이파이 같은 다른 오픈소스 코드 저장소 역시 악용되는 사례가 늘고 있다.

지난해 애플리케이션 보안업체 사이코드(Cycode) 보안 연구진은 깃허브 액션(GitHub Action)이어떻게 백도어 공격에 이용될 수 있는지를 시연한 바 있다. 2012년에도 웹 양식을 통해 레일즈 애플리케이션 데이터베이스에 무단 데이터를 삽입하는 데 악용되는 레일즈 취약점이 보도된 바 있다.

CISO는 코드 연마를 위해 오픈소스 플랫폼을 사용하는 경우 앱 개발자가 보안 모범 사례를 따르도록 강력히 권고해야 한다.
dl-itworldkorea@foundryco.com