10억 달러 규모의 미국 로펌이 깃허브 패키지 개수 제한으로 인해 사이버 보안 위기를 겪었다. 문제가 확대되기 전, 외부 컨설팅 업체의 신속한 대응과 마이크로소프트 관계자와의 오랜 인맥, 그리고 깃허브의 대응으로 사태는 가까스로 수습됐다.

사건은 2025년 5월 7일, 로펌의 애플리케이션을 위탁 운영 중인 브라이트웍스디지털(BrightWorks Digital)이 깃허브 패키지 저장소(GitHub Package Registry)에 패키지를 배포하면서 시작됐다. 패키지 설치 중 조직 관리자 권한이 없는 사용자 계정에 500개 제한이 설정돼 있다는 사실이 드러났다. 새 작업을 위한 신규 패키지가 제한에 걸리면서, 개발팀의 작업이 중단됐다.

공동 CEO 스콧 벨웨어는 “조직 관리자 계정이 없는 사용자는 처음 498개까지만 설치할 수 있었고, 이후 신규 작업은 모두 막혔다”라며 “팀이 수행하는 업무 대부분이 새로운 패키지 기반으로 진행되기 때문에 직접적인 피해가 발생했다”라고 설명했다.

여러 가지 해결책을 시도했지만 남은 방법은 25명 이상 팀원 전원에게 조직 관리자 권한을 부여하는 것뿐이었다. 벨웨어는 이 상황을 “보안적으로 심각한 선택지”라고 평가했다.

대응 과정에서도 문제가 발생했다. 브라이트웍스디지털은 깃허브 고객지원팀에 크리티컬 티켓을 제출했지만 며칠이 지나도 응답이 없었다. 돌아온 답변은 “담당자가 휴가 중”이라는 내용이었고, 문제를 해결할 수 있는 기술 인력이 단 한 명뿐이라는 사실이 확인됐다.

사태는 마이크로소프트 개발자 커뮤니티 담당 부사장 스콧 한젤만과의 오랜 인연 덕분에 반전됐다. 한젤만은 즉시 깃허브 개발자 관계 부사장 마틴 우드워드에게 상황을 전달했고, 하루만에 비관리자 계정의 패키지 설치 한도를 기존 500개에서 1,000개로 확장하는 임시 조치가 내려졌다.

벨웨어에 따르면 마이크로소프트는 현재 영구적인 해결책 마련을 위한 작업을 진행하고 있다. 마이크로소프트 관계자는 해당 사실을 확인했지만 익명을 조건으로 응답했다.

브라이트웍스디지털은 패키지를 서버 환경에 설치하는 과정에서 문제를 겪었고, 필요했던 패키지는 500개를 약간 넘는 수준이었다. 상황을 임시로 넘기기 위해 설치 예정이 없는 일부 패키지를 배포 목록에서 제거해 전환해 공간을 확보하기도 했다.

브라이트웍스디지털은 이번 조치로 조직 관리자 권한의 일괄 부여라는 보안적 타협 없이 프로젝트를 계속 진행할 수 있게 됐다.

깃허브는 해당 조치가 일시적인 해결이며, 장기적으로는 구조적 개선을 통한 해결을 준비하고 있다고 밝혔다. CEO 벨웨어는 “패키지 500개 제한은 예전에는 합리적인 설정이었지만, 개발 환경이 복잡해지며 예상치 못한 보안 위험으로 이어질 수 있다는 점이 드러났다”라고 강조했다.

또한 “마이크로소프트 내부에 인맥이 없었다면 해결은 어려웠을 것”이라며, “대형 업체와의 신뢰 기반 관계가 사이버 보안 상황에서 결정적인 역할을 할 수 있다”라고 밝혔다.
dl-itworldkorea@foundryco.com