핵심 요약
정교한 공급망 공격으로 인해 GitHub의 내부 코드 저장소 3,800개가 침해되었습니다. 이는 리더십 부재, 지속적인 서비스 중단, 심화되는 경쟁 위협을 겪고 있는 마이크로소프트 소유의 개발자 플랫폼에 더 큰 위기를 초래하고 있습니다. 금전적 목적을 가진 해킹 그룹인 TeamPCP가 감행한 이번 침해는 한 직원이 마이크로소프트의 인기 코드 에디터인 Visual Studio Code의 악성 확장 프로그램을 설치하면서 시작되었습니다.
GitHub는 성명을 통해 "악성 확장 프로그램 버전을 제거하고, 엔드포인트를 격리했으며, 즉시 사고 대응을 시작했다"고 밝히며 주요 비밀 정보(Secrets)를 교체했음을 확인했습니다. 알렉시스 웨일즈(Alexis Wales) 최고 보안 책임자(CSO)는 나중에 공격 경로가 5월 18일 공식 마켓플레이스에 단 18분 동안 올라왔던 Nx Console 확장 프로그램의 악성 버전(v18.95.0)이었다고 확인했습니다. 짧은 시간이었음에도 불구하고 자동 업데이트를 통해 6,000명 이상의 사용자에게 악성 패키지가 배포되었을 가능성이 있습니다.
CVE-2026-48027 식별자가 할당된 이번 공격에는 숨겨진 패키지에서 가져온 SANDCLOCK이라는 자격 증명 탈취 페이로드가 포함되었습니다. 공격자들의 초기 침투 경로는 5월 11일 오픈 소스 개발 도구인 TanStack을 먼저 침해하여 Nx Console 개발자의 GitHub 자격 증명을 훔친 것이었습니다. TeamPCP는 처음에 훔친 3,800개의 저장소를 5만 달러에 매물로 내놓았으나, 이후 Lapsus$ 해킹 그룹과 파트너 관계를 맺은 것으로 보이면서 가격을 9.5만 달러로 올렸습니다.
이번 보안 사고는 작년 토마스 돔케(Thomas Dohmke) 전 CEO의 퇴사 이후 시작된 내부 혼란을 더욱 심화시키고 있습니다. 마이크로소프트는 후임자를 지명하는 대신 GitHub를 전 Meta 임원 제이 파리크(Jay Parikh)가 이끄는 CoreAI 팀으로 편입시켰습니다. 이 조치 이후 마이크로소프트에서 34년간 근무한 베테랑 줄리아 리우손(Julia Liuson)과 엘리자베스 페멀(Elizabeth Pemmerl) 최고 매출 책임자(CRO)를 포함한 고위 리더들의 이탈이 이어졌습니다. 불안정한 운영과 빈번한 서비스 중단으로 인해 개발자들은 플랫폼의 신뢰성에 공개적으로 의문을 제기하고 있으며, 일부 대형 프로젝트들은 플랫폼을 떠나겠다고 발표했습니다.
GitHub 사고는 소프트웨어 개발 생태계를 겨냥해 TeamPCP(구글 위협 인텔리전스 그룹에서 UNC6780으로 추적)가 수개월간 벌여온 캠페인의 가장 눈에 띄는 결과입니다. 이 그룹의 방식은 자기 영속적인 순환 구조를 가집니다. 인기 있는 개발 도구를 침해하여 자격 증명을 훔친 뒤, 이를 이용해 다른 도구의 악성 버전을 배포함으로써 접근 권한을 넓혀가는 방식입니다.
Grafana Labs 또한 동일한 초기 TanStack 공격을 통해 침해되었음을 확인했으며, 5월 16일에 랜섬웨어 요구를 받았으나 지불을 거부했습니다. OpenAI의 직원 기기 두 대와 Mistral AI의 특정 코드 저장소도 동일한 공격 파동 속에서 침해되었습니다.
BeyondTrust Corp.의 최고 보안 고문인 모리 하버(Morey Haber)는 이메일을 통해 "이제 개발자 워크스테이션은 도메인 컨트롤러와 동일한 전략적 가치를 지닌다"며 "소스 코드 저장소, 비밀 정보, SSH 키, 클라우드 자격 증명, 서명 인증서 및 배포 파이프라인에 대한 접근 권한은 단 하나의 침해된 엔드포인트를 연쇄적인 공급망 사고로 변모시킬 수 있다"고 경고했습니다.
GitHub는 고객 코드는 영향을 받지 않았다고 주장하지만, 자체 플랫폼 코드의 침해는 공격자들에게 아키텍처에 대한 통찰력을 제공하여 향후 제로데이 취약점 공격을 가능하게 할 수 있습니다. 이번 사건은 2018년 75억 달러에 GitHub를 인수한 마이크로소프트가 직면한 전략적 과제를 부각시킵니다. 이 플랫폼은 단순한 제품이 아니라 마이크로소프트와 개발자 커뮤니티 관계의 근간입니다.
이번 위기는 GitHub의 AI 기반 도구인 Copilot이 Cursor나 Claude Code와 같은 경쟁자들에게 선점 우위를 잃고 있는 시점에 발생했습니다. 내부 소식통에 따르면 제이 파리크는 동료들에게 GitHub가 "심각한 위협"에 직면해 있다고 경고했습니다. 보안 실패, 운영 불안정, 방향성 상실이 결합되어 GitHub의 가장 중요한 자산인 개발자의 신뢰가 훼손될 위험이 있으며, 이는 라이벌들이 시장을 재편할 수 있는 기회를 제공하고 있습니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
