CISA, 데이터 유출 수습 시도

• CISA 계약자가 공개 GitHub 프로필 “Private-CISA”에 내부 시스템 수십 개의 평문 자격 증명을 올렸고, GitHub 보호 기능을 꺼둔 흔적도 남김
• CISA는 유출을 인정했지만 노출 기간은 답하지 않았고, 저장소는 2025년 11월 생성돼 개인용 스크래치패드처럼 쓰인 패턴을 보임
• Maggie Hassan과 Bennie Thompson 등 의원들은 핵심 인프라 위협이 커진 시점에 CISA의 내부 보안 정책, 계약자 관리, 보안 문화에 의문을 제기함
• GitGuardian 통보 뒤 일주일이 지나도 일부 키 교체가 진행 중이었고, TruffleHog의 Dylan Ayrey는 5월 20일 기준 RSA 개인키가 살아 있었다고 밝힘
• 공개 GitHub 이벤트 피드는 방어자와 공격자 모두 감시할 수 있어, 2026년 4월 말 추가된 민감한 비밀값이 이미 악용됐을 위험이 남음

CISA 유출과 의회 질의

• CISA 계약자가 기관 코드 개발 플랫폼 관리자 권한을 가진 상태에서 “Private-CISA”라는 공개 GitHub 프로필을 만들었고, 여기에 내부 CISA 시스템 수십 개의 평문 자격 증명이 포함됨
• 커밋 로그에는 공개 저장소에 민감한 자격 증명을 게시하지 못하게 막는 GitHub 내장 보호 기능을 비활성화한 흔적이 남아 있었음
• CISA는 유출을 인정했지만 데이터가 얼마나 오래 노출됐는지에는 답하지 않음
• 사라진 Private-CISA 아카이브를 검토한 전문가들은 저장소가 2025년 11월 처음 만들어졌고, 정리된 프로젝트 저장소보다 개인 작업용 스크래치패드나 동기화 수단에 가까운 사용 패턴을 보였다고 판단함
• CISA는 서면 성명에서 “이번 사고의 결과로 민감한 데이터가 침해됐다는 징후는 없다”고 밝힘

의원들이 제기한 보안 문화 우려

• Sen. Maggie Hassan은 5월 19일 CISA Acting Director Nick Andersen에게 보낸 서한에서 사이버 침해 예방을 돕는 기관에서 이런 보안 실패가 발생한 경위에 심각한 의문이 생긴다고 밝힘
• Hassan은 미국 핵심 인프라를 겨냥한 중대한 사이버 위협이 이어지는 시점에 CISA의 내부 정책과 절차에 대한 우려가 커졌다고 지적함
• 이번 사고는 CISA 내부의 대규모 혼란 속에서 발생했으며, CISA는 Trump 행정부가 여러 부서에 조기퇴직, 바이아웃, 사직을 강제한 뒤 인력의 3분의 1 이상과 거의 모든 고위 리더를 잃음
• Rep. Bennie Thompson은 5월 19일 서한에서 이번 사고가 약화된 보안 문화나 CISA의 계약 지원 관리 역량 부족을 반영할 수 있다고 밝힘
• Thompson과 공동 서명자인 Rep. Delia Ramirez는 중국, 러시아, 이란 같은 적대 세력이 연방 네트워크 접근과 지속성을 확보하려는 상황에서 Private-CISA 저장소의 파일이 정보, 접근 권한, 로드맵을 제공했다고 봄

끝나지 않은 자격 증명 무효화

• 보안업체 GitGuardian이 CISA에 데이터 유출을 처음 알린 지 일주일이 넘은 뒤에도 CISA는 노출된 키와 비밀값 다수를 무효화하고 교체하는 작업을 계속 진행 중이었음
• TruffleHog를 만든 Dylan Ayrey는 5월 20일 기준으로 Private-CISA 저장소에 노출된 RSA 개인키가 아직 무효화되지 않았다고 밝힘
• 이 RSA 개인키는 CISA 엔터프라이즈 계정이 소유하고 CISA-IT GitHub 조직에 설치된 GitHub 앱에 대한 접근 권한을 부여했으며, 모든 코드 저장소에 대한 전체 접근 권한을 가졌음
• Ayrey에 따르면 공격자는 이 키로 CISA-IT 조직의 모든 저장소 소스코드와 비공개 저장소를 읽고, 악성 자체 호스팅 러너를 등록해 CI/CD 파이프라인을 탈취하고 저장소 비밀값에 접근할 수 있었음
• 공격자는 브랜치 보호 규칙, 웹훅, 배포 키를 포함한 저장소 관리자 설정도 수정할 수 있었음
• KrebsOnSecurity가 5월 20일 Ayrey의 발견을 CISA에 알린 뒤, CISA는 해당 RSA 개인키를 무효화한 것으로 보임
• Ayrey는 CISA가 기관 기술 포트폴리오 전반에 배포된 다른 핵심 보안 기술과 연결된 유출 자격 증명은 아직 교체하지 않았다고 밝힘
• CISA는 “식별된 유출 자격 증명이 교체되고 무효화되도록 관련 당사자 및 벤더와 적극 대응·조율하고 있으며, 시스템 보안을 보호하기 위해 적절한 조치를 계속 취할 것”이라고 답함

공개 GitHub 이벤트 피드의 양면성

• Truffle Security는 GitHub와 여러 코드 플랫폼에서 노출된 키를 모니터링하고, 영향을 받은 계정에 민감 데이터 노출을 알리려 함
• GitHub는 공개 코드 저장소의 모든 커밋과 변경 기록을 포함하는 실시간 피드를 제공하며, 이런 구조가 노출 감지를 가능하게 함
• Ayrey는 사이버 범죄자들도 이 공개 피드를 모니터링하며, 코드 커밋에 실수로 게시된 API 키나 SSH 키를 빠르게 노린다고 밝힘
• Private-CISA GitHub 저장소에는 중요한 CISA GovCloud 리소스에 대한 평문 자격 증명 수십 개가 노출됨
• Ayrey는 사이버 범죄 조직이나 해외 적대 세력도 CISA 비밀값 게시를 봤을 가능성이 높으며, 가장 심각한 노출은 2026년 4월 말 발생한 것으로 보인다고 밝힘
• “GitHub 이벤트를 모니터링하는 누구나 이 정보를 갖고 있을 수 있다”는 점이 핵심 위험으로 남음

기술적 통제의 한계

• Risky Business 보안 팟캐스트의 James Wilson은 GitHub로 코드 프로젝트를 관리하는 조직이 직원이 비밀 키와 자격 증명 게시 방지 기능을 끄지 못하게 하는 상위 정책을 설정할 수 있다고 봄
• 공동 진행자 Adam Boileau는 직원이 개인 GitHub 계정을 열어 민감하고 독점적인 정보를 저장하는 행위를 어떤 기술이 막을 수 있는지는 명확하지 않다고 봄
• Boileau는 이번 사고를 기술적 통제만으로 해결하기 어려운 인간 문제로 규정함
• 계약자가 업무 기기와 개인 기기 사이에서 콘텐츠를 동기화하려고 GitHub를 사용했다면, CISA가 관리하거나 볼 수 있는 범위 밖의 행위를 막기 어렵다는 한계가 드러남
• 기사 업데이트에서는 CISA 성명이 추가됐고, Truffle Security가 저장소의 가장 민감한 비밀값 일부가 2025년이 아니라 2026년 4월 말에 추가됐다고 밝힌 날짜 오류가 수정됨