| 요약 | - 깃허브, 24년 한 해 저장소에서 3,900만 건 이상의 비밀정보 유출(발견) - 문제를 해결하기 위해 고급 보안 기능(GitHub Advanced Security)을 전면 개편 |
| 내용 | - 비밀정보 유출은 최근 소프트웨어 개발 과정에서 가장 심각한 보안 위협 중 하나로 부상 > 작년 한 해 동안 깃허브의 비밀정보 스캔(Secret Scanning) 기능을 통해 3,900만 건이 넘는 민감 정보가 공개 및 비공개 저장소에서 발견 > 개발 속도가 빨라질수록 비밀정보 유출도 그만큼 증가하고 있음을 보여줌 - 깃허브 > 22.04 비밀정보가 포함된 코드를 푸시(Push)하는 것을 방지하는 ‘푸시 보호(Push Protection)’ 기능을 도입 > 24.02부터는 이를 모든 공개 저장소에 기본 적용 > 그럼에도 불구하고 비밀정보가 여전히 유출되는 주된 이유 ① 개발자들이 커밋 과정에서 편의성을 우선시하거나 ② Git 기록을 통해 실수로 저장소가 공개되는 경우가 많기 때문 - 깃허브는 문제를 해결하기 위해 고급 보안 기능(GitHub Advanced Security)을 전면 개편 ① 비밀 보호(Secret Protection)와 코드 보안(Code Security) 기능를 분리해 개별 제품으로 출시 > 기존 : 통합형 보안 제품군 > 중소 규모 개발팀도 저렴한 비용으로 고급 보안 기능을 사용할 수 있게됨 ② 조직 전체를 대상으로 한 무료 비밀 위험 진단 기능이 제공 > 공개, 비공개, 내부, 보관 저장소까지 포함해 모든 저장소에서 민감 정보를 점검할 수 있도록 함 ③ 푸시 보호 기능에는 ‘우회 권한 위임’ 기능이 추가 > 특정 사용자나 팀에게만 비밀정보가 포함된 커밋의 푸시를 허용하는 정책을 설정할 수 있음 > 조직 차원의 정책 기반 통제가 가능해짐 ④ 인공지능 기반 코파일럿(Copilot)을 활용해 구조화되지 않은 비밀번호 등의 비밀정보도 탐지할 수 있도록 함 > 탐지 정확도를 높이고 오탐률을 줄여주는 효과 ⑤ AWS, 구글 클라우드, 오픈AI 등 주요 클라우드 서비스 제공업체들과의 협력 > 더 정밀한 비밀정보 탐지기를 구축하고 유출 발생 시 빠르게 대응할 수 있도록 체계를 강화 |
| 기타 | - 보안 전문가들 권고 > 개발 과정에서 민감 정보를 코드에 직접 입력하지 말고 환경 변수나 비밀관리 도구, 보안 금고(Vault)를 통해 분리 저장할 것 > CI/CD 파이프라인이나 클라우드 플랫폼과 연동 가능한 도구를 활용해 비밀정보를 자동으로 처리 (인적 실수로 인한 노출을 줄이는 것이 중요) > 주기적인 감사와 보안 관리 가이드라인 숙지 |
보안뉴스
2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서 - 데일리시큐
깃허브(GitHub)가 2024년 한 해 동안 저장소에서 발견된 3,900만 건 이상의 비밀정보 유출을 계기로 보안 기능을 대폭 강화했다. API 키와 사용자 인증 정보 등 민감한 데이터가 저장소에 노출되며 사
www.dailysecu.com
'보안뉴스' 카테고리의 다른 글
| SSL/TLS 인증서의 유효기간이 2029년까지 47일로 단축 예정 (0) | 2025.04.18 |
|---|---|
| 해커, 포티넷 VPN 패치 후에도 시스템에 접근하는 신종 지속 기법 사용해 공격...주의 (1) | 2025.04.16 |
| 브로드컴 URL 리디렉션으로 브이엠웨어 워크스테이션 자동 업데이트 장애…보안 위협 증가 (0) | 2025.04.04 |
| 팔로알토네트웍스 VPN 포털 대상 스캔 활동 급증, 전 세계 2만4천개 IP 관여...사용기관 주의 (0) | 2025.04.04 |
| 치명적 보안취약점 이용해 블랙락 랜섬웨어 조직 역해킹…운영 내역 대거 유출 외 1건 (0) | 2025.04.03 |