
보안 연구원 Brian Krebs는 미국의 CISA(사이버 보안 및 인프라 기관)가 최소 2025년 11월부터 공개 GitHub 저장소에 노출된 일반 텍스트 비밀번호, SSH 개인 키, 토큰 및 “기타 민감한 CISA 자산”을 대규모로 보관하고 있다는 소식을 전했습니다.
현재는 오프라인 상태인 공개 저장소(일부 야심찬 이름으로 “Private-CISA”)는 GitGuardian의 공개 코드 스캔을 통해 저장소의 존재에 대한 경고를 받은 GitGuardian의 Guillaume Valadon에 의해 Krebs의 관심을 끌었습니다. Krebs는 Valadon이 Private-CISA 저장소 소유자로부터 아무런 응답도 받지 못한 후 그에게 접근했다고 말했습니다.
Krebs에 보낸 이메일에서 Valadon은 저장소의 커밋 로그에 따르면 비밀 커밋에 대한 GitHub의 기본 보호 기능(정확히 이런 종류의 어리석음으로부터 무의식적이거나 숙련되지 않은 개발자를 보호하기 위해 설계된 보호)이 저장소 관리자에 의해 비활성화되었다고 주장했습니다.
Seralys 창립자 Philippe Caturegli의 테스트에 따르면 이는 농담이나 사기가 아니며 Private-CISA 저장소의 자격 증명을 사용하여 “높은 권한 수준에서” 여러 Amazon Web Services GovCloud 계정에 액세스할 수 있었습니다.
Krebs는 이 저장소가 버지니아에 본사를 둔 CISA 계약업체인 Nightwing에 의해 관리되는 것으로 보인다고 지적했습니다. Nightwing은 지금까지 공개적으로 논평하지 않고 대신 CISA에 질문을 다시 언급했습니다.
CISA가 실수를 저지른 것은 이번이 처음이 아닙니다. 사실 처음도 아닙니다. 올해. 지난 1월 거짓말 탐지기에 실패한 CISA 국장 대행 마두 고투무칼라(Madhu Gottumukkala)는 CISA 직원의 ChatGPT 사용을 금지하는 기관 정책에 대한 면제를 요구하고 받은 후 민감한 정부 문서를 ChatGPT에 업로드했습니다. Gottumukkala는 2월에 그의 직책에서 해임되었습니다.
관련 정보는 아래 링크에서 확인하세요