지난해 깃허브 플랫폼에는 API 키, 인증 정보 등 3,900만 건이 넘는 민감 정보가 유출된 것으로 나타났다. 이에 따라 깃허브는 민감 정보 유출 방지를 위한 스캐닝 도구를 업데이트하며 보안 기능을 한층 강화했다.
깃허브는 지금도 상시로 여러 민감 정보의 유출을 자동으로 차단해 코드에 반영되지 않도록 하고 있다. 하지만 민감 정보 유출 문제는 여전히 해결해야 할 큰 과제로 남아 있다.
깃허브는 1일 블로그를 통해 “민감 정보는 종종 실수로 노출되기도 하지만, 일부는 의도치 않게 위험성을 인식하지 못한 개발자가 공유하면서 발생하기도 한다”라며 “개발자는 사적인 노출의 위험을 과소평가하고, 편리하다는 이유로 기밀 정보를 저장하거나 공유하는 경우가 많은데, 이러한 행동은 시간이 지날수록 보안 위험을 키운다”라고 설명했다.
이 같은 실수를 줄이기 위해 깃허브는 프리미엄 보안 제품인 ‘깃허브 어드밴스드 시큐리티(GitHub Advanced Security, 이하 GHAS)’를 업데이트했다.
새로운 민감 정보 스캔 기능
GHAS 3.18 업데이트로 구독자는 전체 저장소를 한 번에 스캔해 민감 정보 노출 여부를 확인할 수 있는 기능(Point-in-time scan)을 새롭게 무료로 이용할 수 있게 됐다. 이 기능은 GHAS 대시보드의 ‘설정’ 탭에서 활성화할 수 있으며, 조직 내 코드에서 노출된 민감 정보를 찾아내고 이에 대한 위험도를 평가할 수 있다.
깃허브는 “해당 기능이 활성화되면, 깃허브는 조직 내 모든 공개, 비공개, 내부, 보관 저장소에 대해 시점 기반 스캔을 수행한다”라며 “이 결과는 정적이며 자동으로 갱신되지 않으며, CSV 파일 형태로 다운로드할 수도 있다”라고 설명했다.
이 스캔 결과에는 유형별 유출 민감 정보, 공개 저장소에서 외부에 노출된 정보, 기밀 정보 유형별로 영향을 받은 저장소 등이 포함된다고 깃허브는 전했다.
독립 구독 상품으로 GHAS 제공
깃허브는 지난달 모든 규모의 조직이 고급 민감 정보 및 코드 스캔 기능을 이용할 수 있도록 하겠다고 밝힌 바 있다. 이에 따라 GHAS를 ‘시크릿 보호(Secret Protection)’와 ‘코드 보안(Code Security)’으로 구분해 각각 독립적인 구독 상품으로 제공하기 시작했다.
깃허브는 “과거에는 민감 정보 스캔 및 푸시 보호 기능을 이용하려면 보안 도구 전체 제품군을 구매해야 했기 때문에 많은 조직이 전체 기능을 도입하기 어려웠다”라며 “이제는 중소 규모 개발팀도 보다 빠르게 보안 역량을 확장할 수 있게 됐다”라고 밝혔다.
기존 GHAS 구독자는 갱신 시 독립 상품으로 전환할 수 있으며, 종량제 또는 사용량 기반 요금제를 사용하는 고객은 언제든지 전환할 수 있다.
모든 사용자를 위한 보안 강화
코드 협업과 변경 관리 등을 지원하는 깃허브는 사용량, 조직 규모, 저장소 용량에 따라 차등 요금제를 운영하고 있다. 현재 월간 구독 요금제는 무료(Free, 0달러), 팀(Team, 4달러), 엔터프라이즈(Enterprise, 21달러) 세 가지다.
이번 업데이트로 기존 엔터프라이즈 구독자만 사용할 수 있었던 GHAS 기능을 팀 구독자도 이용할 수 있게 됐다.
깃허브는 “오늘부터 모든 규모의 조직이 민감 정보 유출 위험으로부터 스스로를 보호할 수 있도록 기능 제공 범위를 확대한다”라며 “이번 변경에는 ‘깃허브 팀(GitHub Team) 조직을 위한 GHAS’ 기능이 포함된다”라고 설명했다.
이 기능에는 GHAS의 일부로 제공되는 ‘푸시 보호(Push Protection)’ 기능도 포함된다. 이는 깃허브가 2023년 8월부터 엔터프라이즈 구독자에게 제공해온 기능으로, 민감 정보가 포함된 커밋을 감지하고 차단하는 역할을 한다. 깃허브는 이 기능을 2024년 2월부터 모든 엔터프라이즈 고객에게 기본으로 제공하고 있으며, 특정 코드 블록에 대해선 예외 처리를 허용하고 있다.
[email protected]
Read More from This Article: 깃허브, 무료 고급 보안 스캐닝 기능으로 개발자 민감 정보 보호 강화
Source: News