[주간보안동향] 깃허브 내부 저장소 3800개 무단 접근…원인은 악성 VS코드 확장 프로그램 外
[IT동아 김예지 기자] 사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.
깃허브 내부 저장소 3800개 무단 접근…원인은 VS코드 악성 확장 프로그램
세계 개발자들의 필수 인프라로 자리 잡은 마이크로소프트의 소스코드 공유 플랫폼 ‘깃허브(GitHub)’가 사이버 공격의 표적이 됐다. 외신에 따르면, 지난 19일 직원의 기기가 비주얼 스튜디오 코드(Visual Studio Code)의 확장 프로그램을 통해 악성코드에 감염되면서 3800개의 내부 저장소에 대한 무단 접근이 이뤄진 것으로 확인됐다. 다만 고객 정보 유출은 없는 것으로 알려졌다.
이번 사건은 대규모 코드베이스를 관리하는 개발 툴킷이자 VS코드의 확장 프로그램인 ‘Nx 콘솔(Nx Console)’이 감염되면서 발생했다. 깃허브는 X 계정을 통해 “이번 공격이 깃허브 내부 저장소의 데이터 유출에만 국한된 것으로 판단된다. 공격자가 주장하는 약 3800개의 저장소는 지금까지의 조사 결과와 대체로 일치한다”며, “악성 확장 프로그램 버전을 제거하고, 해당 엔드포인트를 격리한 후 즉시 사고 대응에 착수했다”고 밝혔다.
이번 공격의 배후를 자처한 해커 그룹 ‘TeamPCP’는 사전에 취득한 개발자 토큰을 악용해 다른 관리자들의 이중 승인 절차를 우회한 뒤, 악성코드가 주입된 가짜 업데이트 버전을 마켓플레이스에 업로드했다고 밝혔다. 해당 확장 프로그램이 노출된 시간은 단 18분에 불과했으나, 자동 업데이트 기능으로 인해 저장소가 탈취되는 피해로 이어진 것으로 드러났다.
깃허브는 해당 PC를 격리하고 노출 가능성이 있는 중요 인증 키를 긴급 교체하는 등 대처에 나섰으며, 조사가 완료되는 대로 전체 사고 보고서를 공개할 예정이라고 밝혔다. 하지만 내부 저장소에는 운영 도구, 내부 API, 인증 워크플로우 등 민감한 정보가 포함될 수 있어 2차 공격 우려는 여전히 남아 있다. 이에 사용자들은 저장된 모든 인증 키를 주기적으로 교체할 것을 권고하고 있다. 이번 사고는 개발자 도구에 대한 보안 경각심이 그 어느 때보다 중요해졌음을 시사한다.
개인정보 침해, 어떤 유형이 가장 많을까…분쟁조정 사례집 발간
일상 속에서 기업들의 소비자 개인정보 수집·이용이 보편화되면서, 자신도 모르게 권리를 침해당해 고통받는 사례가 급증하고 있다. 이러한 갈등을 사전에 방지하고 합리적인 해결책을 제시하기 위해 개인정보보호위원회(이하 개인정보위)와 개인정보 분쟁조정위원회가 지난해 처리한 주요 사건을 엮은 ‘2026년 개인정보 분쟁조정 사례집’을 발간했다.
이번 사례집에는 침해 유형별로 총 121건의 사례가 수록됐다. 가장 많은 비중을 차지한 유형은 ‘수집 목적 외 이용 또는 제3자 제공’(28건)이다. 이는 사전 고지된 범위를 초과하여 마케팅 등에 개인정보를 임의로 연계한 사례들을 의미한다. 이어 ‘정보주체의 사전 동의 없는 개인정보 수집·이용’(24건), ‘열람·정정·삭제 요구 불응’(23건)이 뒤를 이었다. 기술·관리·물리적 보호조치 미비, 개인정보 취급자에 의한 누설·유출·훼손 사례도 15건씩 포함됐다. 개인정보를 파기하지 않은 경우도 침해 사례로 포함된다.
예컨대, 소비자가 광고 메일을 발송한 업체에 자신의 이메일 수집 출처를 요구했으나 묵묵부답으로 일관하자 조정을 청구했고, 출처 고지 의무 불이행으로 손해배상금을 지급하게 된 사례가 소개됐다.
강영수 분쟁조정위 위원장은 “AI를 활용한 새로운 형태의 침해가 일상 속으로 파고드는 지금, 사례집이 국민에게는 권리구제의 참고서, 기업·기관에게는 개인정보 처리 지침서로 기능하길 바란다”고 밝혔다.
포티넷, 포티게이트 G 시리즈 2종 출시
글로벌 네트워크 보안 기업 포티넷(Fortinet)이 차세대 방화벽 ‘포티게이트(FortiGate) G 시리즈’ 신제품 2종 포티게이트 3500G와 400G를 21일 출시했다고 밝혔다. 두 제품은 자체 개발 ASIC 프로세서(NP7·SP5)와 FortiOS 운영체제를 기반으로 설계됐다. 이를 통해 최근 AI 워크로드 급증과 암호화 트래픽 확산으로 성능 한계에 봉착한 기존 방화벽 구조의 문제를 해결한다.
포티게이트 3500G는 대규모 데이터센터 환경을 겨냥한다. 400Gb 연결성과 고급 ASIC 가속을 탑재해 트래픽이 집중되는 환경에서도 병목 없이 운영할 수 있도록 설계됐다. 포티게이트 400G는 분산 환경에 최적화된 엔터프라이즈 엣지용 방화벽이다. 하드웨어 기반 통합 플랫폼을 통해 성능과 보안을 동시에 잡겠다는 게 핵심 전략이다. 기존 포티게이트 인프라에서 간편하게 업그레이드가 가능하고, 포트폴리오 전반에 걸쳐 일관된 인터페이스를 제공한다.
특히 두 제품에는 승인되지 않은 AI 애플리케이션의 무단 사용을 실시간으로 파악하고 민감 데이터를 보호하는 ‘섀도우 AI(Shadow AI)’ 탐지 기능이 탑재됐다. 또한 포티가드 AI 보안 서비스로 최신 위협 정보를 지속 업데이트하며 보안성을 강화한다. 포티OS 8.0을 기반으로 MCP(Model Context Protocol) 및 AI 에이전트 간 트래픽을 더 세밀하게 통제할 수 있다.
KT, 개인정보보호 자문위원회 신설…‘고객 신뢰 회복 첫 걸음’
KT가 지난 21일 ‘개인정보보호 자문위원회’ 신설을 공식 발표했다. AI 기술 발전과 데이터 기반 서비스 확산에 발맞춰 개인정보 처리 환경 변화에 선제 대응하고, 고객 신뢰 회복을 위한 거버넌스 체계를 갖추겠다는 취지다.
자문위원회는 사전 예방 중심의 개인정보 관리 체계를 강화하는 전략적 기구로 운영된다. 초대 위원으로는 정책·법률, 기술·보안, 산업·서비스, 윤리·이용자 보호 등 다양한 분야 전문가들로 구성됐다. 염흥열 순천향대 정보보호학과 명예교수, 이희정 고려대 법학전문대학원 교수, 류재철 충남대 컴퓨터융합학부 교수, 손기욱 서울과학기술대 컴퓨터공학과 교수 등이 참여한다.
자문위원회의 주요 역할은 개인정보 처리자로서의 의무 이행 강화, 데이터 활용 적정성 검토, 개인정보 유출 사고 예방 및 재발 방지 체계 고도화 등이다. KT는 이달 중 발족식을 열고 본격 운영에 들어갈 예정이다.
김창오 KT 개인정보보호그룹장(CPO) 상무는 “AI 시대에는 데이터 활용을 통한 혁신만큼 개인정보 보호에 대한 고객 신뢰가 무엇보다 중요하다”며, “외부 전문가들과 협력해 글로벌 수준의 개인정보보호 체계를 구축하겠다”고 밝혔다.
라온시큐어, 옴니원 CX로 공공 마이데이터 인증 시장 정조준
AI 보안·인증 플랫폼 기업 라온시큐어가 자사 통합인증 서비스 ‘옴니원 CX’를 앞세워 금융·공공 분야 디지털 인증 시장을 공략한다고 밝혔다. 라온시큐어는 케이뱅크·BC카드·KB저축은행 등 금융권 고객사를 대상으로 옴니원 CX 기반의 통합 디지털 인증 플랫폼 도입을 확산하며 공공 마이데이터 기반 인증·전자서명 체계 고도화에 나서고 있다.
최근 금융권에서 공공 마이데이터를 활용한 비대면 서비스가 확산되는 가운데, 카드 발급, 금융상품 가입, 자격 확인 등 다양한 서비스에서 본인 확인과 전자서명 절차의 중요성이 높아졌고, 이를 안전하고 간편하게 처리할 수 있는 통합 플랫폼 수요도 커지고 있다.
옴니원 CX는 모바일 신분증, 공동인증서, 생체인증, 간편인증 등 다양한 인증 수단을 하나의 플랫폼에서 제공한다. 사용자는 서비스 환경에 따라 원하는 방식을 선택할 수 있고, 공공 마이데이터 연계 시 필요한 전자서명도 간편하게 처리할 수 있다.
특히 라온시큐어는 국가 모바일 신분증 구축 경험과 블록체인 기반 분산신원인증(DID) 기술을 기반으로, 옴니원 CX와 디지털 신원 서비스를 연계하는 확장 전략도 병행 추진한다. 라온시큐어는 “모바일 신분증과 디지털 자격증명 활용 범위가 넓어질수록, 단순 인증을 넘어 신원 확인·자격 검증까지 하나의 사용자 경험으로 연결하는 디지털 신뢰 인프라 역할이 강화될 것”이라고 전망했다.
IT동아 김예지 기자 (yj@itdonga.com)
