미국 CISA, GitHub 통한 AWS GovCloud 키 유출—정부 시스템 보안에 경고음

사건 개요

2026년 5월, 미국 사이버·인프라 보안국(CISA)의 외주 계약자가 GitHub 공개 저장소에 AWS GovCloud 인증정보와 여러 내부 시스템 접근 자격을 유출한 사실이 확인됐습니다. 이 사건은 미국 연방정부 핵심 인프라를 담당하는 기관이 클라우드 보안 기본 수칙을 소홀히 해 발생한 초대형 사고로 꼽힙니다(Brian Krebs 보도 참조).

유출된 정보에는 AWS GovCloud의 고권한 계정 키뿐 아니라 CISA 내부 소프트웨어 빌드 및 배포 파일, 내부 운영 매뉴얼, 시스템 접근 방법 등 다수의 민감 정보가 포함돼 있었습니다. 해당 파일은 오랜 기간 공개 상태였기 때문에 악의적 행위자가 언제든 접근할 수 있었던 것으로 파악됩니다.

노출 정보의 중대성

유출된 AWS GovCloud 키는 단순 개발·테스트용이 아닌 실제 고권한 계정 자격입니다. AWS GovCloud는 미국 연방정부, 군사, 기밀 데이터 보호를 위한 환경으로 일반 클라우드보다 훨씬 강력한 접근 통제가 필요합니다. 그러나 이 키가 외부에 공개되면서 공격자가 CISA 내부 시스템 수십 개에 관리자급 접근을 할 수 있었다는 분석이 나왔습니다.

보안 전문가들은 해당 아카이브에 내부 개발 문서와 코드까지 포함된 점을 지적하며, 단순 정보 유출을 넘어 공급망 공격의 위험으로 확대될 수 있음을 경고합니다. 공격자가 빌드 스크립트나 배포 절차 정보를 악용해 악성 코드를 삽입한 위조 소프트웨어를 CISA 및 협력 기관에 배포할 수 있는 환경이 만들어졌다는 것입니다.

구조적 보안 허점 진단

• 계약자 보안 교육 미흡: GitHub 등 공개 플랫폼에 민감 정보를 올리는 것은 보안 기본 소양 부족에서 비롯됩니다. 계약자 보안 인식 교육이나 사전 점검 절차가 제대로 작동하지 않았음을 보여줍니다.
• 키 관리 정책 부족: AWS 고권한 키 관리에는 환경 변수나 안전한 비밀 관리 시스템이 필요하지만, 하드코딩되어 저장된 정황이 드러났습니다.
• 감사·모니터링 사각지대: 자격증명 유출이 장기간 노출되도록 탐지하지 못한 점에서 보안 모니터링 체계의 한계가 나타났습니다.

전문가 평가 및 잠재 리스크

• 수평 이동(Lateral Movement) 위험: 노출된 고권한 키로 내부 여러 시스템으로의 연쇄 침투가 가능해져 전체 네트워크로 확산될 수 있습니다.
• 데이터 기밀성 손상: GovCloud 내부 기밀 데이터의 무결성·보안성이 침해되고 외부 유출 위험이 커집니다.
• 기관 신뢰도 훼손: 인프라 보호 책임 기관의 관리 실패는 동맹국 및 협력기관과의 정보 공유 신뢰도에 큰 부담을 줄 수 있습니다.

정책 개선 및 예방책 제언

1. 계약자 보안 의무 강화: 계약 시 민감 정보 처리를 포함한 법적·기술적 의무 명확화와 주기적 보안 감사가 필요합니다.
2. 자격증명 생명주기 통제: AWS IAM 역할 순환, 비밀관리 솔루션(AWS Secrets Manager, HashiCorp Vault 등) 도입, 키 자동 교체 정책 도입 등 기술적 관리를 강화해야 합니다.
3. 공개 플랫폼 감시 체계 구축: Secret Scanning, 커밋 이력 검사 등 자동화 도구를 조기에 도입해 민감 정보 노출을 빠르게 차단해야 합니다.
4. 인시던트 대응 체계 강화: 자격증명 유출 발생 시 즉각 키 폐기·교체, 영향 범위 조사 등 실질적 대응 계획을 사전에 수립할 필요가 있습니다.
5. 제로 트러스트 아키텍처 도입: 장기적으로는 ‘항상 검증’하는 제로 트러스트 원칙을 바탕으로, 내부·외부 구분 없는 접근 통제 체계로 전환해야 합니다.

결론

CISA 계약자의 GitHub를 통한 AWS GovCloud 키 유출은 기술적 실수를 넘어 기관 전체의 보안 문화와 거버넌스 허점을 드러내는 사례입니다. 이번 사건을 계기로 정부와 민간 조직 모두 개발 프로세스와 인증정보 관리, 계약자 보안 감독의 중요성을 다시 인식하고 구조적 보안 체질 개선에 힘써야 할 것입니다.