GitHub가 직원 기기를 대상으로 한 공급망 공격으로 내부 저장소 약 3,800개가 무단 접근됐다고 20일 공식 발표했다. 침해 범위는 제한적이며 고객 정보에는 영향이 없는 것으로 현재까지 파악되고 있다.

GitHub의 최고 정보보안 책임자(CISO) 알렉시스 웨일스는 보안 블로그를 통해 "지난 18일 악의적인 VS Code 확장을 통해 감염된 직원 기기에서 GitHub 내부 저장소만 접근된 것으로 파악된다"며 "고객의 엔터프라이즈, 조직, 저장소 등 외부 정보는 안전하다"고 밝혔다.

GitHub의 신속한 대응이 피해를 최소화한 것으로 보인다. 감지 직후 18일부터 19일까지 중요도가 높은 보안 시크릿부터 우선 로테이션했으며, 현재 로그 분석·시크릿 로테이션 검증·인프라 모니터링을 지속 중이다. 웨일스 CISO는 "추가 위협 활동 모니터링을 계속 진행할 것"이라고 덧붙였다.

공급망 공격의 변화된 양상을 보여주는 사건이다. 예전엔 개발 도구 자체(라이브러리·패키지)의 위협을 주목했다면, 이번 사건은 보안이 철저한 대기업도 직원 개인 환경(로컬 개발 도구)에서 감염될 수 있음을 드러냈다. VS Code 같은 일상적 도구가 공격 벡터가 될 수 있다는 점은 기업 보안 정책에 시사점이 크다.

GitHub 내부 저장소 일부에는 고객 지원 상담 기록 등 고객 정보가 포함되어 있다. 그러나 GitHub는 "고객 저장소나 엔터프라이즈 외부 정보에 대한 접근 증거는 없다"며 현재까지 고객 영향은 제한적인 것으로 정리했다. 조사가 완료되면 추가 보고서를 공개할 예정이다.

한국의 개발팀·보안팀에도 교훈이 있다. 직원이 회사 기기 외에 개인 노트북·협력사 노트북을 쓸 때의 위험이 크다는 점을 재확인하는 사건이다. VS Code·GitHub Desktop·로컬 환경의 확장·플러그인 관리, 그리고 기기 전체의 보안 위생(OS 업데이트·백신·EDR)을 강화해야 한다는 점이 부각된다.

이 사건은 제로트러스트 모델의 중요성도 다시 한번 증명한다. 직원 기기라도 신뢰하지 말고 접근 가능한 데이터를 최소화하고, 민감한 저장소·시크릿은 추가 인증 계층으로 보호해야 한다는 교훈이다.