미국 사이버보안·인프라보안국 CISA가 정부 시스템 접근용 비밀키와 자격증명이 공개 깃허브 저장소에 노출된 사건의 사후보고서를 냈다. 저장소는 계약업체 직원이 올렸다. 보안 연구자의 초기 연락 뒤 답이 없었고 기자가 CISA에 연락한 이후 저장소가 내려가고 노출 자격증명이 폐기·교체됐다.
CISA는 사고 초기 단계에서 대응 플레이북을 만드는 데 시간이 들었으며 외부 연구자의 신고 채널도 명확하지 않았다고 보고서에 적었다. 이는 절차상 공백을 기관이 인정한 사례다. 다만 해당 공백이 대응을 정확히 얼마나 지연했는지와 각 연락 시각은 공개 자료만으로 계산하기 어렵다.
기관은 고객이나 임무 데이터가 노출된 증거는 없다고 밝혔다. 이 표현은 자격증명이 공개되지 않았다는 뜻이 아니라 조사에서 실제 데이터 유출 증거를 확인하지 못했다는 의미다. 노출 기간, 저장소 접근 기록, 키 권한 범위와 로그 보존 기간이 함께 공개돼야 결론의 강도를 외부에서 평가할 수 있다.
비밀키 노출 사고에서는 저장소 삭제만으로 대응이 끝나지 않는다. 키 폐기 시각, 동일 자격증명의 다른 시스템 사용 여부, 노출 기간 중 인증 시도와 파생 토큰을 확인해야 한다. 보고서가 이 항목을 어느 범위까지 조사했는지는 공개 요약과 내부 기록 사이에 차이가 있을 수 있다.

CISA의 지휘·인력 공백은 사건의 구조적 배경으로 거론된다. 그러나 인력 축소가 이번 절차 부재를 직접 초래했다는 증거는 공개되지 않았다. 조직 상황과 확인된 사고 원인을 분리하면서 복구 훈련과 외부 제보 처리 시간이 전후로 어떻게 달라졌는지를 살펴볼 필요가 있다.
공공기관은 협력사의 공개 저장소에도 비밀키 탐지와 회수 절차를 적용할 수 있다. 자동 커밋 차단, 노출 키의 즉시 교체, 사용 로그 추적과 접수 확인이 있는 취약점 공개정책이 비교 가능한 통제 수단이다. 사후 검증은 개선 선언보다 담당자, 완료 기한과 모의훈련 결과를 기준으로 이뤄질 수 있다.
저작권자 © STORIUM 무단전재 및 재배포 금지














