로그인
보증업체
스포츠중계
스포츠분석
먹튀사이트
지식/노하우
판매의뢰
업체홍보/구인
뉴스
커뮤니티
포토
포인트
보증카지노
보증토토
보증홀덤
스포츠 중계
기타
축구
야구
농구
배구
하키
미식축구
카지노 먹튀
토토 먹튀
먹튀제보
카지노 노하우
토토 노하우
홀덤 노하우
기타 지식/노하우
유용한 사이트
제작판매
제작의뢰
게임
구인
구직
총판
제작업체홍보
실시간뉴스
스포츠뉴스
연예뉴스
IT뉴스
자유게시판
유머★이슈
동영상
연예인
섹시bj
안구정화
출석하기
포인트 랭킹
포인트 마켓
로그인
자동로그인
회원가입
정보찾기
뉴스
더보기
[실시간뉴스]
尹정부 감사원 실세 유병호 구속영장…"관저이전 봐주기 감사"(종합)
N
[실시간뉴스]
민주당 내 '보완수사권 폐지' 신중론‥향후 전당대회가 변수?
N
[스포츠뉴스]
'폴투윈부터 연속 포디엄까지'... 금호타이어, 현대 N 페스티벌 포디엄 장악
N
[실시간뉴스]
유병호 감사위원, 20일 영장심사…'尹관저 이전 부실감사' 혐의(종합)
N
[실시간뉴스]
특검, 김건희 대법원 선고 연기 신청‥'명태균 게이트' 유죄 尹 판결 검토 요청
N
커뮤니티
더보기
[자유게시판]
드디어 금요일이군요
[자유게시판]
오늘 다저스 어떻게 생각하시나요
[자유게시판]
하아 댓노
[자유게시판]
식곤증지립니다요
[자유게시판]
벌써 불금이네요
목록
글쓰기
[IT뉴스]깃허브 PAT 대량 유출... 경찰청, 내부망 연쇄 침투 경고
온카뱅크관리자
조회:
6
2026-07-14 18:17:32
<div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="Y12MyrEoOU"> <p contents-hash="536e0e0f2d183b4ae226321489079fd732b444bf1e30785ff4a18be5ca47df9e" dmcf-pid="GtVRWmDgDp" dmcf-ptype="general"><strong>비공개 저장소 노린 ‘개인 액세스 토큰’ 탈취 정황 발견<br>로그 점검·접속 키 관리·스캐닝 기능 활성화 권고</strong></p> <p contents-hash="cefe8bd6c8eb31b2323b26f20eb4d546cce8a3eceecc201f40d1abc360d539d0" dmcf-pid="HFfeYswaw0" dmcf-ptype="general">[보안뉴스 조재호 기자] 경찰청 국가수사본부 수사국 사이버테러대응과는 국내외 기업과 개발자가 사용하는 소프트웨어 개발 플랫폼 깃허브(GitHub)의 ‘개인 액세스 토큰’(PAT) 다수가 유출된 정황을 파악하고 14일 긴급 보안 권고문을 발표했다.</p> <figure class="figure_frm origin_fig" contents-hash="c0d8fb9cb222e8dbc130437464fb8485007ed740f68f18258e08f45c2ad00bdf" dmcf-pid="X34dGOrNr3" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202607/14/552815-KkymUii/20260714181654514flfw.jpg" data-org-width="750" dmcf-mid="WwG0ax6bwu" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202607/14/552815-KkymUii/20260714181654514flfw.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [출처: 연합] </figcaption> </figure> <div contents-hash="6ffdd78148715853360dd6abdd0d6ea81589f250025855f22be284d0b4c60bee" dmcf-pid="Z08JHImjEF" dmcf-ptype="general"> <br>경찰청 수사 결과에 따르면, 해커들은 유출된 PAT를 활용해 피해자 비공개 저장소에 무단 접근할 수 있다. 이를 통해 주요 시스템 접속에 필요한 내부 정보를 확보하고, 기업 시스템에 깊숙이 침입해 민감한 중요 자료를 탈취할 위험성이 높다. </div> <p contents-hash="daa8dbd38a6e95ed0f4557c7b1c35d2c21dcaaa57091cf8debbefabad67dbdc1" dmcf-pid="5uQL5lIkst" dmcf-ptype="general">피해 확산을 막기 위해 경찰청은 깃허브 비공개 저장소를 운영하는 모든 주체에게 긴급 보안 조치를 권고했다. </p> <p contents-hash="5488395a87238430fcd69b3b92fff961648f13e4f39bcfaa48c8a313295c765c" dmcf-pid="17xo1SCEs1" dmcf-ptype="general">우선, 무단 접근 여부를 확인하기 위해 사용자의 깃허브 로그(Audit, Security) 등을 통해 최근 1~3개월간 비정상적인 접근기록이나, 사용하지 않는 IP 주소 접속 및 업무 시간 외 소스코드 다운로드·변경 이력 점검이 필요하다.</p> <p contents-hash="f43231f168b3a8e76620f49c31c565c05c7cc99595edba1e0401c791b1c6e45b" dmcf-pid="tzMgtvhDD5" dmcf-ptype="general">침해 정황이 확인될 경우, 기존 PAT를 즉시 폐기하고 재발급하는 조치가 필요하다. 비공개 저장소 소스코드가 탈취됐을 가능성을 고려해 코드 내부에 기재된 데이터베이스 접속 패스워드를 비롯해 AWS, Azure, GCP 등 클라우드 서비스 접근 키와 범용 API Key 등 자격 증명을 즉시 무효화해야 한다. 또, 사전 예방 차원에서 PAT 재발급받는 것이 안전하다고 덧붙였다.</p> <p contents-hash="a59b0e8e8b641f8237191ebb5d294e5ec5087864967767c9282e27837c71f2a2" dmcf-pid="FqRaFTlwrZ" dmcf-ptype="general">해킹 예방과 피해 최소화를 위한 보안 수칙도 제시했다. 일회용 인증번호(TOTP)와 보안키 등을 활용한 2단계 인증 적용을 시작으로, 모든 저장소 권한을 포괄하는 PAT 사용을 최소화하고, 특정 저장소 읽기 전용 등 필요 권한만 세분화해 부여하는 최소 권한 원칙 등이다.</p> <p contents-hash="93f316053dfc1ec7fd93b361220cc5ce2b97f68db285240e63da1bb09c4cc3a0" dmcf-pid="3BeN3ySrOX" dmcf-ptype="general">개발 환경 내부 취약점 점검에 대해서도 강조했다. 주요 시스템 접속 정보를 소스 코드에 평문으로 하드코딩하는 행위를 금하고, ‘비밀정보 매니저’(Secret Manager)를 도입해 인증 정보를 코드와 분리해야 한다. 깃허브 설정에서는 ‘비밀정보 스캐닝’(Secret Scanning)과 ‘푸시 보호’(Push Protection) 기능을 활성화해 PAT나 API Key가 소스코드에 포함돼 저장되는 것을 탐지하고 차단하고, 주기적인 점검을 권했다.</p> <p contents-hash="6f9106f14f4e7afeb4a92ba179efa48a0cc20c43ba660a7f94cd01c088449711" dmcf-pid="0bdj0WvmOH" dmcf-ptype="general">이외에도 고정 IP 기반 가상사설망(VPN) 등 허용된 환경에서만 조직과 저장소에 접근하도록 ‘IP 허용 목록’(IP Allow List)을 설정해야 한다. 최근 VS Code 등 개발 도구 위장 악성 확장 프로그램이나 피싱을 통해 토큰이 유출되는 사례가 보고되는 만큼, 개발자 PC 보안에 대한 주기적 점검이 병행돼야 한다.</p> <p contents-hash="c12f051a664fde34217efe2fc36ca128d923f649a84ac88d503001e9a08f47a3" dmcf-pid="pKJApYTsEG" dmcf-ptype="general">이번 보안 권고는 민간 개발 플랫폼의 보안 사각지대가 기업 생존 리스크로 작용할 수 있음을 시사한다. 클라우드 인프라 확장에 따라 코드 저장소에 보관된 자격 증명 탈취가 기업 내부망 전체 위협으로 이어질 수 있는 만큼, 개발자의 보안 인식 제고와 함께 시크릿 스캐닝 등 자동화된 탐지 도구 적용 및 권한 최소화 원칙 등 기업 차원의 보안 정책 정비가 뒷받침돼야 할 시점이다. </p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p>
댓글등록
댓글 총
0
개
맨위로
이번주
포인트
랭킹
매주 일요일 밤 0시에 랭킹을 초기화합니다.
1
4,000
상품권
2
3,000
상품권
3
2,000
상품권
업체홍보/구인
더보기
[구인]
유투브 BJ 구인중이자나!완전 럭키비키자나!
[구인]
에카벳에서 최대 조건으로 부본사 및 회원님들 모집합니다
[구인]
카지노 1번 총판 코드 내립니다.
[구인]
어느날 부본사 총판 파트너 모집합니다.
[구인]
고액전용 카지노 / 헬렌카지노 파트너 개인 팀 단위 모집중 최고우대
지식/노하우
더보기
[카지노 노하우]
혜택 트렌드 변화 위험성 다시 가늠해 보기
[카지노 노하우]
호기심이 부른 화 종목 선택의 중요성
[카지노 노하우]
카지노 블랙잭 카드 조합으로 히트와 스탠드를 결정하는 방법
[카지노 노하우]
흥부가 놀부될때까지 7
[카지노 노하우]
5월 마틴하면서 느낀점
판매의뢰
더보기
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
포토
더보기
채팅하기