ทันเอไอ

Global AI & tech news, in your language · every story source-checked

🌐Follow
← Back to news
도구/오픈소스Verified

CISA, 직원 GitHub에 로그인 정보 유출 후 대응 계획 미비 인정

미국 사이버 보안 기관(CISA)은 계약자가 정부 시스템 접근을 위한 기밀 정보를 GitHub에 공개적으로 유출한 후, 실제 사건 발생 중에 비상 대응 계획을 수립해야 했다고 밝혔다.

📅 2026년 7월 12일 오전 01:14
CISA, 직원 GitHub에 로그인 정보 유출 후 대응 계획 미비 인정

미국 사이버 보안 및 인프라 보안국(CISA)은 사후 검토 보고서(post-mortem)에서 지난 5월 발생한 클라우드 기반 중요 정보 유출 사건에 대한 사전 준비된 대응 계획(playbook)이 없었음을 인정했다. 이로 인해 직원들은 문제를 해결하는 동시에 "사건 초기 단계에서 [playbook]을 만드느라 시간을 보냈다"고 밝혔다.

이 사건은 5월에 GitGuardian 보안 연구원들이 CISA와 협력하는 계약업체 직원이 업로드한 미국 정부 시스템 접근을 위한 키와 자격 증명(credentials)과 같은 많은 양의 기밀 정보가 공개적으로 접근 가능한 GitHub 리포지토리(코드 저장 및 관리 공간)에 저장되어 있음을 발견했을 때 시작되었다. 연구원들은 계약업체에 직접 연락하여 경고하려 했지만 응답을 받지 못했다.

이 이야기는 연구원들이 독립 사이버 보안 탐사 보도 기자 Brian Krebs에게 알린 후 공개되었다. Krebs는 CISA에 직접 연락했다. 기자의 연락을 받은 후에야 CISA는 해당 리포지토리를 시스템에서 제거하고 유출된 모든 기밀 정보를 즉시 철회하거나 변경했다.

흥미로운 점은 CISA가 수년 동안 다양한 유형의 사이버 사건에 대응하기 위한 플레이북을 만들도록 정부 및 민간 기관에 촉구하고 장려해 온 기관이라는 것이다. 그러나 최근 보고서에서 이 기관은 이러한 특정 상황에 대한 "GitHub/클라우드 플레이북을 사전에 만들지 못했다"고 인정했다. 그럼에도 불구하고 CISA는 사후 조사 결과 악의적인 행위자가 유출된 정보를 사용했다는 증거는 발견되지 않았으며 고객 정보나 기타 민감한 정보가 영향을 받지 않았다고 밝혔다.

Why it matters
이 사건은 사이버 보안을 담당하는 국가 기관조차도 프로세스에 취약점이 있을 수 있다는 중요한 경고이며, 문제가 발생했을 때만 만드는 것이 아니라 모든 상황에 대비한 사전 대응 계획의 중요성을 강조한다.
#CISA#ความมั่นคงปลอดภัยไซเบอร์#GitHub#ข้อมูลรั่วไหล

Related news

เครื่องมือ/โอเพนซอร์ส
เจอกระแสต้านหนัก Meta ถอนฟีเจอร์ AI สร้างภาพจากบัญชี Instagram สาธารณะ หลังเปิดตัวไม่กี่วัน
เครื่องมือ/โอเพนซอร์ส
Reverse Centaur: แนวคิดใหม่ไขปริศนา ทำไมประสบการณ์ใช้ AI ถึงต่างกันสุดขั้ว
เครื่องมือ/โอเพนซอร์ส
"AI 2040" แผนชะลอ Superintelligence ถึงปี 2040 ถูกวิจารณ์โดย George Hotz ว่าเป็นแค่ "ลัทธิบูชาสติปัญญา"
เครื่องมือ/โอเพนซอร์ส
งานวิจัยเคมบริดจ์เผย โบโกฮะรอมตั้งหน่วย AI เฉพาะกิจ ใช้ ChatGPT-Gemini วางแผนโจมตี-สร้างอาวุธ