GitHub Actions 해킹: Trivy 오픈소스에서 드러난 공급망 보안의 취약점

작성자:
⚡ 핵심 요약

  • Trivy 오픈소스 GitHub Actions가 해킹되어 75개 태그가 하이재킹됨
  • 공급망 보안 취약점 및 CI/CD 시크릿 유출 위험이 대두됨
  • 액션 버전 고정, 시크릿 관리 등 개발자 및 조직의 보안 강화 방안 강조

이번 해킹은 오픈소스 공급망 보안이 개발 현장에 얼마나 직접적 위협인지 상기시키는 경고라 할 수 있습니다.

사건 개요 및 일정

2026년 3월, 오픈소스 보안 취약점 스캐너 Trivy의 GitHub Actions가 한 달 만에 두 번째로 해킹당하는 심각한 보안 사건이 발생했습니다. Aqua Security가 유지 관리하는 Trivy는 컨테이너 이미지, 파일시스템, Git 저장소 등 다양한 환경에서 취약점을 스캔하는 도구로, 전 세계 수많은 개발자와 조직에 널리 사용되고 있습니다.

이 해킹 사건은 최근 증가세에 있는 소프트웨어 공급망 공격의 대표적인 사례로, 개발자 및 보안 커뮤니티에 강한 경고를 던졌습니다.

Trivy와 GitHub Actions의 역할

Trivy는 오픈소스 취약점 스캐너로, 컨테이너 보안 및 코드 분석에 널리 활용됩니다. CI/CD 파이프라인과 Kubernetes 환경에 필수적으로 통합되어 DevSecOps 구현에 핵심 역할을 합니다.

GitHub Actions는 GitHub에서 제공하는 워크플로우 자동화 서비스로, 빌드·테스트·배포 작업을 자동화합니다. 많은 개발자들이 Trivy와 Actions를 결합해 취약점 스캔을 자동화하면서 생산성을 높이고 있습니다. 그러나 이런 자동화 환경은 민감 정보가 노출될 수 있어 항상 보안에 취약해질 수 있습니다.

공격 방식 및 사실 기반 요약

공격자는 ‘aquasecurity/trivy-action’, ‘aquasecurity/setup-trivy’ 프로젝트의 75개 태그를 하이재킹 했습니다. 악성 태그로 정상 태그를 대체한 뒤, 악성코드를 추가해 CI/CD 환경에서 시크릿·토큰을 탈취하는 것이 주요 목적이었습니다.

  • CI/CD 파이프라인 내 시크릿(토큰) 탈취
  • 빌드 과정에서 자격증명 및 민감 데이터 유출 시도
  • 개발자가 취약점 스캔 명령을 실행할 때 악성 코드를 자동 실행하도록 설계

이 같은 GitHub Actions 태그 하이재킹은 Actions 신뢰 체계를 악용해 주요 인증정보가 의도치 않게 노출되는 문제로 이어집니다.

이전 유사 사례와의 비교

이번 사건은 한 달 전 최초의 해킹과 다음과 같은 공통점이 있지만, 더 정교하고 대규모로 확대된 특징을 보였습니다.

  • 공격 대상: 인기 오픈소스의 GitHub Actions
  • 공격 수법: 태그 하이재킹, 악성코드 삽입
  • 목표: CI/CD 환경에서의 시크릿 및 자격증명 탈취

이번에는 75개 태그라는 대규모 공격이 이뤄졌으며, 이는 공격자가 이전 해킹에서 얻은 정보를 바탕으로 공격을 더욱 고도화했다는 신호입니다.

소프트웨어 공급망 보안의 위협 수준

Trivy 해킹은 오픈소스와 자동화 파이프라인에 대한 신뢰가 얼마나 쉽게 깨질 수 있는지 보여줍니다.

오픈소스 신뢰성 문제: 수많은 조직이 오픈소스 소프트웨어를 활용하지만, 그 보안 상태를 유지·검증하는 것은 매우 어렵습니다. 검증 과정의 부재는 공격자에 의한 공급망 공격 가능성을 높입니다.

CI/CD 파이프라인 공격 증가: CI/CD 파이프라인이 개발의 중심으로 자리잡은 만큼, 여기에 악성코드 혹은 취약점이 침투할 경우 전체 조직·고객사에 연쇄적 피해가 발생할 수 있습니다.

태그 하이재킹의 위험: 널리 쓰이는 GitHub Actions에서 태그 관리 부실이 악용될 수 있다는 점이 이번 해킹의 핵심 경고입니다. 실제 쓰이는 버전에 악성 요소가 심겨질 수 있으니 액션 버전 관리가 매우 중요합니다.

개발자·조직을 위한 실질적 대응 방안

  1. GitHub Actions 워크플로우 최소 권한화: 공식 보안 지침에 따라 워크플로우에서 불필요한 권한·비밀 정보를 제거하고, 시크릿 접근을 최소화해야 합니다.
  2. 액션 버전 명확히 고정: GitHub Actions 사용 시 특정 태그·커밋 해시로 명확히 버전을 지정해야 하며, ‘latest’와 같은 최신 자동 참조는 피해 적용이 필수입니다.
  3. 오픈소스 의존성 정기 점검과 업데이트: 공급망 내 사용 중인 오픈소스 도구의 보안 공지 확인 및 취약점 발생 시 신속한 업데이트가 필요합니다.
  4. 시크릿 정기 순환 및 폐기: 민감 정보는 정기적으로 교체하고, 유출 의심 시 즉시 폐기 조치합니다.
  5. 공급망 보안 프레임워크 도입: SLSA 등 신뢰 검증 체계를 도입해 서드파티 코드 신뢰성을 수시 점검해야 합니다.

결론 및 보안 시장 인사이트

Trivy의 GitHub Actions 해킹은 오픈소스 공급망 보안의 취약성을 보여주는 뼈아픈 사례이며, 앞으로도 유사한 위협이 반복될 수 있음을 시사합니다. 개발 생명주기 전 단계부터 DevSecOps 원칙과 자동화 보안 검증이 필수적임을 다시 한 번 확인시켜 주었습니다. 조직·개발자는 신뢰할 수 있는 보안 프레임워크 도입과 체계적인 대응 프로세스가 선택이 아닌 필수임을 인식해야 합니다.

공급망 해킹은 한 번의 사고로 끝나지 않으므로, 향후에도 보안 모니터링과 신속한 대응 체계를 갖추는 것이 필수입니다.

  • 오픈소스 자동화 파이프라인의 신뢰 관리가 핵심 과제임을 강조
  • 실시간 보안 점검 체계와 액션 버전 고정이 해킹 피해 최소화의 첫걸음임
  • 누구도 예외일 수 없는 공급망 해킹 위협, DevSecOps 전략이 필수

TAG : Trivy, 오픈소스 보안, GitHub Actions, 공급망 보안, CI/CD 해킹, 시크릿 탈취, 태그 하이재킹, DevSecOps, 취약점 스캐너, Aqua Security

댓글 남기기