CISA 관리자가 AWS GovCloud 키를 GitHub에 유출

1 week ago 9

CISA 계약자가 운영한 공개 Private-CISA 저장소가 고권한 AWS GovCloud 계정과 내부 시스템 자격 증명을 노출함
GitHub 계정에는 비밀 정보 게시를 막는 기본 설정을 비활성화한 흔적과 평문 비밀번호, 토큰, 로그가 포함됨
노출 파일 importantAWStokens에는 AWS GovCloud 서버 3개의 관리자 자격 증명이, CSV에는 내부 시스템 로그인 정보가 들어 있었음
Seralys는 노출 키가 높은 권한으로 인증 가능했고, 내부 artifactory 접근은 패키지 백도어와 횡적 이동 위험을 키운다고 봄
CISA 통보 직후 계정은 오프라인이 됐지만 AWS 키는 이후 48시간 더 유효했고, CISA는 침해 징후는 없다고 밝힘

공개 GitHub 저장소에 노출된 CISA 내부 자격 증명

CISA 계약자가 운영하던 공개 GitHub 저장소가 여러 고권한 AWS GovCloud 계정과 CISA 내부 시스템 자격 증명을 노출함
저장소 이름은 Private-CISA였고, CISA가 내부에서 소프트웨어를 빌드, 테스트, 배포하는 방식과 관련된 파일까지 포함돼 있었음
저장소에는 클라우드 키, 토큰, 평문 비밀번호, 로그, 기타 민감한 CISA 자산이 대량으로 들어 있었음
GitGuardian의 Guillaume Valadon은 공개 코드 저장소를 지속적으로 스캔해 노출된 비밀 정보를 탐지하고 계정 소유자에게 자동 알림을 보내는 과정에서 이 저장소를 발견함
Valadon은 저장소 소유자가 응답하지 않았고 노출 정보가 매우 민감해 KrebsOnSecurity에 연락함

Valadon은 이번 CISA 자격 증명 노출을 열악한 보안 위생의 전형적인 사례로 봄
문제의 GitHub 계정 커밋 로그에는 CISA 관리자가 공개 코드 저장소에 SSH 키나 다른 비밀 정보를 게시하지 못하도록 막는 GitHub 기본 설정을 비활성화한 흔적이 있었음
Valadon은 “CSV에 평문으로 저장된 비밀번호, Git에 들어간 백업, GitHub 비밀 탐지 기능을 비활성화하는 명시적 명령”이 있었다고 전함
노출된 파일 importantAWStokens에는 Amazon AWS GovCloud 서버 3개의 관리자 자격 증명이 포함돼 있었음
또 다른 파일 AWS-Workspace-Firefox-Passwords.csv에는 수십 개 CISA 내부 시스템의 평문 사용자 이름과 비밀번호가 들어 있었음
Philippe Caturegli에 따르면 해당 시스템에는 기관의 보안 코드 개발 환경인 “Landing Zone DevSecOps”의 약자로 보이는 LZ-DSO도 포함돼 있었음

보안 컨설팅 회사 Seralys 창업자 Philippe Caturegli는 AWS 키가 아직 유효한지와 노출 계정이 어떤 내부 시스템에 접근할 수 있는지만 확인했다고 밝힘
Caturegli는 노출된 자격 증명이 AWS GovCloud 계정 3개에 높은 권한 수준으로 인증될 수 있음을 검증함
아카이브에는 CISA 내부 artifactory의 평문 자격 증명도 포함돼 있었음
해당 artifactory는 CISA가 소프트웨어를 빌드하는 데 사용하는 코드 패키지 저장소이며, 공격자가 CISA 시스템에서 지속적인 거점을 확보하려 할 때 매력적인 대상이 될 수 있음
Caturegli는 이 위치가 횡적 이동에 매우 적합하며, 소프트웨어 패키지에 백도어를 심으면 이후 새로 빌드되는 소프트웨어마다 백도어가 배포될 수 있다고 봄

Caturegli는 이 GitHub 계정이 정리된 프로젝트 저장소라기보다 개인 작업자가 작업용 메모장이나 동기화 수단으로 사용한 패턴에 가깝다고 봄
CISA 관련 이메일 주소와 개인 이메일 주소가 모두 사용돼, 서로 다르게 구성된 환경에서 저장소가 쓰였을 가능성이 있음
Caturegli는 사용 가능한 Git 메타데이터만으로는 어떤 엔드포인트나 장치가 쓰였는지 입증할 수 없다고 밝힘
GitHub 계정과 노출된 비밀번호를 검토한 결과, Private-CISA 저장소는 버지니아주 덜레스의 정부 계약업체 Nightwing 직원이 관리한 것으로 나타남
Nightwing은 논평을 거부하고 문의를 CISA로 돌림

CISA 대변인은 기관이 보고된 노출을 인지하고 있으며 상황을 계속 조사 중이라고 밝힘
CISA는 현재 이 사건으로 민감한 데이터가 침해됐다는 징후는 없다고 밝힘
CISA는 팀 구성원에게 높은 수준의 청렴성과 운영 인식을 요구하며, 재발 방지를 위한 추가 보호 조치를 마련 중이라고 밝힘
CISA는 데이터 노출의 잠재적 기간에 관한 질문에는 응답하지 않음
Caturegli에 따르면 Private-CISA 저장소는 2025년 11월 13일 생성됐고, 해당 계약자의 GitHub 계정은 2018년 9월 생성됨
KrebsOnSecurity와 Seralys가 CISA에 노출 사실을 알린 직후 Private-CISA 저장소가 포함된 GitHub 계정은 오프라인 상태가 됨
Caturegli는 노출된 AWS 키가 이후에도 설명하기 어렵게 48시간 더 유효했다고 밝힘

폐쇄된 Private-CISA 저장소에는 여러 내부 리소스에 대해 쉽게 추측 가능한 비밀번호가 사용된 흔적도 있었음
다수의 자격 증명은 각 플랫폼 이름 뒤에 현재 연도를 붙인 형태의 비밀번호를 사용함
Caturegli는 이런 관행이 외부에 노출되지 않았더라도 어떤 조직에서든 심각한 보안 위협이 될 수 있다고 봄
공격자는 표적 시스템에 최초 접근을 확보한 뒤 내부 네트워크에 노출된 핵심 자격 증명을 이용해 접근 범위를 넓히는 경우가 많음
Caturegli는 해당 CISA 계약자가 2025년 11월부터 이 저장소에 정기적으로 커밋해 온 점을 근거로, 업무용 노트북과 집 컴퓨터 사이에서 파일을 동기화하려고 GitHub를 사용했을 가능성을 제기함
Caturegli는 어떤 회사에도 당혹스러운 유출이지만, 이번 경우는 CISA이기 때문에 더 문제가 크다고 봄