2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서

요약	- 깃허브, 24년 한 해 저장소에서 3,900만 건 이상의 비밀정보 유출(발견) - 문제를 해결하기 위해 고급 보안 기능(GitHub Advanced Security)을 전면 개편
내용	- 비밀정보 유출은 최근 소프트웨어 개발 과정에서 가장 심각한 보안 위협 중 하나로 부상 > 작년 한 해 동안 깃허브의 비밀정보 스캔(Secret Scanning) 기능을 통해 3,900만 건이 넘는 민감 정보가 공개 및 비공개 저장소에서 발견 > 개발 속도가 빨라질수록 비밀정보 유출도 그만큼 증가하고 있음을 보여줌 - 깃허브 > 22.04 비밀정보가 포함된 코드를 푸시(Push)하는 것을 방지하는 ‘푸시 보호(Push Protection)’ 기능을 도입 > 24.02부터는 이를 모든 공개 저장소에 기본 적용 > 그럼에도 불구하고 비밀정보가 여전히 유출되는 주된 이유 ① 개발자들이 커밋 과정에서 편의성을 우선시하거나 ② Git 기록을 통해 실수로 저장소가 공개되는 경우가 많기 때문 - 깃허브는 문제를 해결하기 위해 고급 보안 기능(GitHub Advanced Security)을 전면 개편 ① 비밀 보호(Secret Protection)와 코드 보안(Code Security) 기능를  분리해 개별 제품으로 출시 > 기존 : 통합형 보안 제품군 > 중소 규모 개발팀도 저렴한 비용으로 고급 보안 기능을 사용할 수 있게됨 ② 조직 전체를 대상으로 한 무료 비밀 위험 진단 기능이 제공 > 공개, 비공개, 내부, 보관 저장소까지 포함해 모든 저장소에서 민감 정보를 점검할 수 있도록 함 ③ 푸시 보호 기능에는 ‘우회 권한 위임’ 기능이 추가 > 특정 사용자나 팀에게만 비밀정보가 포함된 커밋의 푸시를 허용하는 정책을 설정할 수 있음 > 조직 차원의 정책 기반 통제가 가능해짐 ④ 인공지능 기반 코파일럿(Copilot)을 활용해 구조화되지 않은 비밀번호 등의 비밀정보도 탐지할 수 있도록 함 > 탐지 정확도를 높이고 오탐률을 줄여주는 효과 ⑤ AWS, 구글 클라우드, 오픈AI 등 주요 클라우드 서비스 제공업체들과의 협력 > 더 정밀한 비밀정보 탐지기를 구축하고 유출 발생 시 빠르게 대응할 수 있도록 체계를 강화
기타	- 보안 전문가들 권고 > 개발 과정에서 민감 정보를 코드에 직접 입력하지 말고 환경 변수나 비밀관리 도구, 보안 금고(Vault)를 통해 분리 저장할 것 > CI/CD 파이프라인이나 클라우드 플랫폼과 연동 가능한 도구를 활용해 비밀정보를 자동으로 처리 (인적 실수로 인한 노출을 줄이는 것이 중요)  > 주기적인 감사와 보안 관리 가이드라인 숙지

 

보안뉴스

2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서 - 데일리시큐