🔍 핵심 요약
- 미국 사이버보안국(CISA)의 SSH 키와 평문 비밀번호 등 민감한 인증 정보가 깃허브 퍼블릭 저장소에서 발견되는 황당한 사고 발생.
- 해당 데이터는 2025년 11월부터 노출되어 왔으며, 국가 보안을 책임지는 기관의 기본적인 보안 위생 부재가 적나라하게 드러남.
- 정부 주도의 'Secure by Design' 캠페인에 대한 신뢰도 급락 및 내부 코드 감사 프로세스의 전면적 붕괴를 시사함.
상세 분석
‘보안의 수호자’인가, ‘유출의 근원’인가
미국 전역의 사이버 보안과 주요 인프라 보호를 책임지는 사이버보안 및 인프라 보안국(CISA)에서 상상조차 하기 힘든 보안 사고가 발생했습니다. 보안 연구원들에 따르면, CISA 내부에서 관리하는 민감한 인증 정보가 누구나 접근할 수 있는 퍼블릭 깃허브(GitHub) 저장소에 게시되어 있었다는 사실이 밝혀졌습니다.
이는 마치 금고 제작자가 금고 열쇠를 길거리에 던져둔 것과 다름없는 처사로, 전 세계 보안 커뮤니티는 이번 사건을 ‘역대급 보안 무능’의 사례로 꼽고 있습니다. 국가의 디지털 성벽을 지키겠다고 공언하던 기관이 정작 자신들의 뒷문은 활짝 열어두고 있었던 셈입니다.
유출된 데이터의 실체와 참담한 타임라인
유출된 정보의 면면은 더욱 충격적입니다. 서버 접근의 마스터 키 역할을 하는 SSH 키는 물론이고, 현대 보안에서는 절대 금기시되는 ‘평문 비밀번호(Plaintext passwords)‘가 포함되어 있었습니다. 더욱 가관인 것은 노출 기간입니다.
이 데이터들은 무려 2025년 11월부터 발견 시점까지 약 6개월간 아무런 제약 없이 공개되어 있었습니다. 이 기간 동안 전 세계의 공격자들이 해당 정보를 수집했을 가능성을 배제할 수 없으며, 이는 미국 국가 인프라 전체에 대한 잠재적 위협으로 직결됩니다. CISA가 평소 민간 기업들에 강조하던 ‘보안 위생(Security Hygiene)‘이 정작 본인들에게는 적용되지 않았음이 백일하에 드러났습니다.
‘Secure by Design’의 허구성과 시스템의 붕괴
CISA는 그동안 ‘설계부터 보안(Secure by Design)‘이라는 구호를 외치며 강력한 보안 표준을 전파해 왔습니다. 그러나 이번 사건은 CISA 내부의 CI/CD(지속적 통합/배포) 파이프라인에서 기본적인 ‘시크릿 스캐닝(Secret Scanning)’ 도구조차 작동하지 않았음을 보여줍니다. 코드가 퍼블릭 저장소에 푸시되기 전에 민감한 정보를 자동으로 필터링하는 기초적인 자동화 시스템이 부재했거나, 실무자가 이를 무시한 것입니다.
이는 단순한 개인의 실수를 넘어 기관 전체의 보안 문화가 얼마나 해이해졌는지를 보여주는 지표입니다. 이번 사건은 정부 기관에 대한 국민적 신뢰를 바닥으로 떨어뜨렸으며, 향후 CISA의 보안 권고안이 시장에서 가질 권위에도 심각한 타격을 입히게 되었습니다.
시사점
CISA의 이번 참사는 ‘보안 권력의 오만함’이 부른 필연적 결과입니다. 타인에게는 가혹한 보안 잣대를 들이대면서 정작 자신들의 코드 저장소에는 시크릿 스캐닝조차 도입하지 않은 위선은 용납될 수 없습니다. 이번 사고를 계기로 모든 보안 관리자는 ‘시스템이 아닌 인간을 불신하는 아키텍처(Zero Trust)‘를 실무에 강제해야 합니다.
자동화된 보안 필터가 인간의 태만을 대신 감시하지 않는 이상, 제2의 CISA 사태는 언제든 재발할 수 있습니다.
