GitHub 공식 발표, 내부 저장소 무단 접근 확인, 암호화폐 업계 경계 강화, 개발자 비판: GitHub는 더 이상 신뢰할 수 없다, 매일 무언가 망가지고 있다

📄전체 원문· trafilatura에 의해 자동 추출됨Gemini 翻譯2288 자

GitHub은 오늘 아침 내부 저장소가 무단 접근을 당했다는 사실을 공식 인정했지만, 현재까지 고객 데이터 유출 증거는 없다고 강조했습니다. 다만 보안 커뮤니티는 경고합니다: GitHub 인프라가 침투당했다면, 그 결과는 단일 저장소 유출보다 훨씬 더 심각하다는 것입니다. (관련 기사: 가재 OpenClaw가 "해커 ATM"으로 급부상! 공식 사이트가 픽셀 단위로 복제되어 Web3 지갑이 털리다) (배경 보충: GitHub의 오픈소스 봇을 조심하라! SlowMist Cosine: 한 무료 오픈소스 봇에 백도어가 숨겨져 Solana 개인키를 탈취) GitHub은 대만 시간 오늘(20일) 이른 시각, 공식 X 계정(@github)을 통해 성명을 발표하고 내부 저장소가 무단 접근을 당했음을 공식 인정했으며 현재 조사를 진행 중이라고 밝혔습니다. We are investigating unauthorized access to GitHub's internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub's internal repositories (such as our customers' enterprises, organizations, and repositories), we are closely… — GitHub (@github) May 19, 2026 GitHub은 공지에서 다음과 같이 강조했습니다: "현재 GitHub 내부 저장소 외부에 저장된 고객 정보(기업 계정, 조직 및 사용자 저장소 포함)가 영향을 받았다는 증거는 없습니다." 또한 후속 조치를 예방하기 위해 인프라를 면밀히 모니터링하고 있으며, 영향이 발견될 경우 기존 사고 대응 채널을 통해 고객에게 통지할 것이라고 밝혔습니다. 이번 GitHub 자체 내부 저장소 피해는 고립된 사건이 아니라, 최근 연쇄 공격의 최신 사례입니다. 5월 16일, 모니터링 플랫폼 Grafana Labs는 GitHub Token 유출 사건을 공개적으로 확인했습니다: 공격자는 Token을 획득한 후 전체 코드베이스를 다운로드하고 몸값을 요구했으며, Grafana는 지불을 거부했습니다. 5월 14일, 더 충격적인 사례가 드러났습니다: 미국 사이버보안 및 인프라보안국(CISA)의 내부 GitHub 저장소 "Private-CISA"가 무려 6개월 동안 외부에 공개되어 있었으며, 그 안에는 844 MB의 평문 비밀번호, AWS Token 및 Entra ID SAML 자격 증명이 포함되어 있었습니다. 미국 최고의 사이버 방어 기관조차 GitHub 설정 실수로 무너졌으며, The Register는 일부 파일명이 "믿기 어려울 정도로 노골적"이라고 표현했습니다. 같은 달, 신원 보안 회사 SailPoint의 GitHub 저장소도 침해당했으며, SecurityAffairs는 이 사건이 공격자들이 대량의 자격 증명을 관리하는 보안 업체 자체를 표적으로 삼고 있음을 보여준다고 폭로했습니다. 암호화폐 업계의 경우, GitHub 인프라 침투의 결과는 이미 처참한 전례가 있습니다. 2026년 3월, Palo Alto Networks 산하 Unit42는 표적 공급망 공격을 폭로했습니다: 공격자의 첫 번째 목표는 바로 Coinbase 오픈소스 프로젝트 agentkit이었습니다. Coinbase가 탐지하고 차단한 후, 공격자는 진영을 옮겨 널리 사용되는 GitHub Action "tj-actions/changed-files"를 성공적으로 탈취했으며, 결국 23,000개의 저장소에 영향을 미쳤고 그중 218개에서 실제로 secrets 유출이 발생했습니다. 자세한 분석은 Unit42 보고서를 참조하십시오. 같은 해 4월부터 5월까지 "second-action" 등 15개의 인기 GitHub Action 태그가 변조되어 악성 commit을 가리켰으며, The Hacker News도 이 광범위한 영향을 미친 태그 탈취 사건을 기록했습니다. 암호화폐 사용자에게 가장 직접적인 충격을 준 것은 Bitwarden CLI 사건입니다: 공격자는 침해된 GitHub Action을 통해 Bitwarden CLI 2026.4.0 버전에 악성 npm 패키지를 심었고, 이 프로그램은 능동적으로 MetaMask, Phantom 및 Solana 지갑 파일을 탈취했습니다. 이 공격 체인은 "CI/CD 파이프라인 → 패키지 매니저 → 최종 사용자 지갑"이라는 3단계 수확 경로를 완벽하게 시연했습니다. GitHub의 성명은 "고객 저장소는 안전"이라는 점에 초점을 맞추고 있지만, 보안 커뮤니티의 우려는 더 깊은 위협을 가리킵니다. 공격자가 GitHub 내부 저장소에서 측면 이동을 한다면, 진정으로 가치 있는 표적에는 다음이 포함됩니다: 소프트웨어 서명 키(합법적인 업데이트 위조에 사용 가능), CI/CD 시스템 제어권(임의의 시점에 악성 코드 주입 가능), Dependabot 또는 GitHub Actions의 실행 컨텍스트(이러한 도구에 의존하는 모든 다운스트림 프로젝트 오염 가능). 엔지니어링 업계의 유명 평론가 Gergely Orosz와 개발자 Mario Zechner는 최근 GitHub의 안정성과 보안이 지속적으로 하락하고 있다고 공개적으로 비판했으며, Zechner는 다음과 같이 직설적으로 말했습니다 "GitHub은 더 이상 신뢰할 수 있는 플랫폼이 아니며, 매일 무언가가 망가지고 있다". 지속적으로 고조되는 이번 GitHub 공급망 위협에 직면하여, 보안 커뮤니티는 암호화폐 프로젝트가 즉시 다음 네 가지 방어 조치를 취할 것을 권장합니다: - GitHub Actions를 tag나 branch 이름이 아닌 전체 SHA로 고정하여 태그 탈취 방지 - Secrets는 environment로 격리하고 최소 권한 원칙을 적용하여, 단일 Token 유출로 전체가 무너지는 것 방지 - Push Protection과 GitHub Advanced Security(GHAS)를 활성화하여, 푸시 단계에서 실수로 업로드된 자격 증명 차단 - 개발 머신과 production 서명 키를 물리적으로 분리하여, CI 환경이 침투당하더라도 정식 버전 서명 위조 불가 GitHub은 조사가 여전히 진행 중이며, 기존 사고 대응 채널을 통해 후속 통지를 발표할 것이라고 밝혔습니다. 이미 전체 배포 파이프라인을 GitHub 인프라 위에 구축한 암호화폐 프로젝트에게, 이 사건의 최종 영향 범위는 GitHub이 내부 포렌식을 완료해야만 진정으로 평가할 수 있습니다.

데이터 상태✓ 전체 내용 추출 완료원문 읽기 (動區 BlockTempo)

🔍과거 유사 사건· 키워드 + 종목 매칭3 건

2026-05-22

Andrej Karpathy가 정리한 'CLAUDE.md 4대 원칙'이 GitHub에서 화제가 되며 AI의 코드 작성 정확도를 90% 이상으로 끌어올렸다

유사도 120%關鍵字 github同分類 zh

2026-05-21

GitHub은 직원이 악성 VSCode 확장 프로그램을 잘못 설치하여 3,800개의 내부 repo가 탈취되었음을 확인했습니다.

유사도 120%關鍵字 github同分類 zh

2026-05-01

GitHub Copilot 유료화 전환, AI 산업의 '가장 큰 거짓말'을 드러내다

유사도 120%關鍵字 github同分類 zh

💡 현재 키워드 + 종목 매칭(MVP) 사용 중 · 추후 embedding 의미론적 검색으로 업그레이드 예정