🔐 CI/CD에 백도어가? 믿는 도끼에 발등 찍힌다! GitHub Actions 보안 이슈

요즘 개발자들이라면 GitHub Actions를 한 번쯤은 사용해봤을 것입니다. 자동화된 테스트, 빌드, 배포까지 단 몇 줄의 코드로 구성할 수 있는 편리함 덕분에 CI/CD 파이프라인에서 널리 사용되고 있죠.

그런데 최근 우연히 스크롤을 내리다 마주친 쓰레드 하나가 눈에 들어왔습니다. "CI/CD 그냥 쓰다 해킹당해요"라는 제목. 처음엔 자극적인 제목인가 싶었지만, 내용을 들여다보니 생각보다 심각한 이슈였습니다. 덕분에 관련 내용을 하나하나 찾아보기 시작했고, 오늘 그 이야기를 공유해보려 합니다.

---

🧨 어떤 일이 있었나?

2025년 3월 14일, GitHub에서 널리 사용되던 액션 중 하나인 tj-actions/changed-files 액션이 공격을 받아 백도어가 삽입되는 사건이 발생했습니다. 이 액션은 코드 변경 여부를 감지하는 데 많이 쓰이는데, 이처럼 인기 있는 액션이 공격당하면서 수많은 프로젝트가 위험에 노출되었죠.

공격자는 다음과 같은 방식으로 시크릿을 유출했습니다:

1. Base64로 인코딩된 쉘 스크립트를 실행시켜 페이로드를 다운로드 및 실행
2. Python + Shell 조합으로 메모리를 덤프
3. 특정 정규 표현식으로 시크릿 탐색
4. Base64로 재인코딩 후 로그에 출력

python3 -c 'import os,base64,re; pattern = r"\"value\":\"([^\"]+)\".*isSecret\":true"; re.findall(pattern, memory_dump)'

즉, 단순히 시크릿을 훔치는 것에 그치지 않고 로그에 출력되도록 설계했기 때문에, 로그만 봐도 시크릿이 노출되는 상태가 되었습니다.

---

📊 실제 피해 규모는?

항목	내용
총 워크플로우 실행 수	1104개
공격 흔적 발견된 워크플로우	276개
실행 로그 삭제된 리포지터리	237개 / 256개 실행 로그 삭제
유출된 시크릿 수	603개
주요 시크릿 종류	GitHub Token, DockerHub 인증 정보, AWS 액세스 키

GitHub 토큰(gsh_), AWS 키 등 민감한 인증 정보가 다수 유출되었습니다.

---

🛡 실무에서는 어떻게 대응해야 할까?

이 문제를 계기로 CI/CD에서의 보안을 진지하게 고민할 필요가 있습니다.

✅ 1. 외부 액션 Pinning 하기

외부 액션을 사용할 때는 꼭 SHA(Pinning)를 고정해서 사용해야할것 같습니다. 특정 버전으로 고정하지 않으면, 공격자가 새로운 커밋으로 악성 코드를 추가해도 감지하기 어렵습니다.

참고: GitHub Security Hardening Guide

✅ 2. 로그 점검 & 시크릿 회수

• 실행 로그에 시크릿이 노출되지 않았는지 확인
• 유출 가능성이 있다면 즉시 로그 삭제 + 키 교체는 필수

✅ 3. Honeytoken 활용

• 이런 명칭이 있는지는 몰랐지만, 공격 탐지를 위해 허위 시크릿을 넣어두는 Honeytoken 전략을 사용하면 공격이 시도된 시점을 탐지할 수 있다고 합니다.

참고: Honeytokens에 대한 개념

✅ 4. GitHub Action 보안 점검 툴 사용

• tj-actions/changed-files와 같은 액션을 사용하는지 확인
• GitHub Actions 보안 점검 툴인 actionlint 등을 통해 전체 Workflow를 주기적으로 검토가 필요합니다.

---

🤔 이게 왜 이렇게 위험한가요?

시크릿은 단순한 문자열이 아닙니다. 하나가 유출되면,

• 배포된 인프라에 접근 가능
• DockerHub 이미지 조작 가능
• AWS 자원 무단 생성 가능

즉, 유출 즉시 프로덕션 전체가 해킹당할 수도 있다는 이야기입니다.

---

📚 유용한 참고 자료

• GitHub 공식 보안 공지
• 보안 전문가의 정리 쓰레드 ← 이거 보고 이 블로그 작성 시작했어요!
• GitHub Actions Supply Chain 공격 요약 (by Medium)

---

🚀 마무리하며

이번 사건은 우리에게 많은 것을 시사한다고 생각합니다. 편리함 뒤엔 언제나 보안 리스크가 숨어 있습니다. CI/CD 도구는 개발 생산성을 올려주지만, 잘못된 설정 하나가 전체 서비스를 무너뜨릴 수 있습니다.

저도 GitHub Actions을 개인적으로 사용하고 있고, 나중에 문제가 생기면 팀 전체가 피해를 입을 수 있겠다는 생각이 들어 이 블로그를 쓰게 되었어요. 제목 그대로 믿는 도끼에 발등 찍힐수 있으니 사전에 준비해서 대비합시다!

---

#GitHubActions #시크릿유출 #CI보안 #SupplyChainAttack #tj-actions #DevSecOps #보안리스크 #보안팁 #Honeytoken #actionlint