GitHub Actions 공급망 공격: 인기 워크플로 사칭 커밋, CI/CD 자격증명 대량 탈취 시도

2. 사건 개요 및 배경

2026년 5월, GitHub Actions 생태계에서 심각한 공급망 공격이 발생했다. 오픈소스 개발자들 사이에서 널리 사용되는 ‘actions-cool/issues-helper’ 워크플로 리포지토리가 공격자에 의해 손상되면서, 소프트웨어 공급망 보안의 허점을 드러내는 중대한 사건으로 기록되었다.

이 워크플로는 이슈 관리 자동화를 위해 수천 개의 프로젝트에서 의존성을 가지고 있었으며, 기업과 개인 개발자 모두가 활용하고 있어 공격의 잠재적 영향 범위가 매우 컸다.

3. 공격 방식 상세 분석

공격자는 리포지토리 접근 권한을 탈취한 뒤 기존 태그 전체를 임의의 사칭(위조) 커밋으로 강제 변경(태그 변조)했다. 개발자들은 여전히 안정된 버전의 태그로 인식했지만, 해당 태그가 실제로는 악성 커밋을 가리키도록 만든 것이다.

사칭 커밋에는 CI/CD 파이프라인 실행 시 환경 변수에 저장된 암호, API 토큰, 배포 자격증명 등을 공격자 서버로 전송하는 악성 코드가 정교하게 삽입되어 있었다. 단순히 의존성으로 해당 워크플로를 참조하는 것만으로 잠재적인 자격증명 유출 위험에 노출될 수 있었다.

4. 공격 영향 및 위협 확산 가능성

GitHub Actions는 전 세계 수백만 프로젝트의 CI/CD 파이프라인 구축에 활용되고 있다. 특히 ‘actions-cool/issues-helper’와 같은 커뮤니티 워크플로는 간편성과 자동화 측면에서 강점을 갖고 있다.

이 액션을 사용하는 프로젝트들은 일반적으로 다음과 같은 환경에 속한다.

• 오픈소스 라이브러리 및 프레임워크 개발 환경
• 스타트업 및 중소기업의 자동화 파이프라인
• 대규모 엔터프라이즈의 내부 개발 워크플로
• 품질 관리 시스템 등

만약 공격이 성공하면, 단일 침입으로 수천 개 프로젝트의 자격증명이 대량 탈취될 수 있어, 지능형 공격자나 랜섬웨어 조직에 매력적인 표적이 된다.

5. 기존 공급망 공격 사례와의 비교

이번 사건은 과거에 발생한 소프트웨어 공급망 공격 사례와 유사한 점이 많다. 예를 들어, 2023년에는 npm 패키지를 통한 자격증명 탈취 시도가 있었고, 2024년에는 인기 Python 라이브러리에 악성 코드가 삽입되어 논란이 됐다.

그럼에도 불구하고, GitHub Actions 기반으로 이루어진 이번 공격은 고유의 심각성을 지닌다. CI/CD 환경은 본질적으로 높은 권한을 지니며, 저장된 자격증명이 실제 프로덕션 배포, 클라우드 리소스 액세스 등 주요 업무에 직접 사용되기 때문이다.

즉, 단순 버전 위장이나 코드 변조를 넘어, 공급망의 신뢰 구간 자체가 직접적으로 위협받았다.

6. 대응 방안 및 보안 수칙 제안

이번 사건을 통해 개발자 및 보안팀은 다음과 같은 실질적인 대응책을 반드시 점검·적용해야 한다.

1. 외부 워크플로 검증 강화
외부 GitHub Actions 사용 전, ▲리포지토리 활동 내역 ▲오픈 이슈 ▲커밋 서명 상태를 반드시 확인하고, 공식 서명된 커밋인 경우 검증을 거쳐야 한다.

2. CI/CD 비밀정보 최소화 및 최소 권한 원칙 적용
필요없는 자격증명은 CI/CD 환경에서 제거하고, 꼭 필요한 경우에도 최소 권한만 부여하여 접근을 엄격히 제한해야 한다.

3. 워크플로 실행 모니터링 및 알림 시스템 도입
비정상 네트워크 요청이나 외부 서버와의 데이터 전송 시도가 감지될 때 즉시 알림이 오도록 하며, 권한 있는 IP만 연결을 허용하는 화이트리스트 정책도 고려해야 한다.

4. SBOM(소프트웨어 구성요소 명세) 작성
모든 의존성과 워크플로 요소를 체계적으로 문서화하여(예: SBOM), 침해 발생 시 신속히 영향 범위를 분석할 수 있도록 한다.

소프트웨어 공급망 공격은 더 이상 예외적인 문제가 아니다. 개발자와 보안 전문가는 이번 사건을 계기로 오픈소스 생태계의 신뢰와 안전을 동시에 확보하는 선제적 보안 강화에 나설 필요가 있다.