# CISA, 데이터 유출 수습 시도 > Clean Markdown view of GeekNews topic #29828. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=29828](https://news.hada.io/topic?id=29828) - GeekNews Markdown: [https://news.hada.io/topic/29828.md](https://news.hada.io/topic/29828.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-05-25T02:37:10+09:00 - Updated: 2026-05-25T02:37:10+09:00 - Original source: [krebsonsecurity.com](https://krebsonsecurity.com/2026/05/lawmakers-demand-answers-as-cisa-tries-to-contain-data-leak/) - Points: 1 - Comments: 1 ## Topic Body - **CISA 계약자**가 공개 GitHub 프로필 “Private-CISA”에 내부 시스템 수십 개의 평문 자격 증명을 올렸고, GitHub 보호 기능을 꺼둔 흔적도 남김 - CISA는 유출을 인정했지만 노출 기간은 답하지 않았고, 저장소는 2025년 11월 생성돼 개인용 **스크래치패드**처럼 쓰인 패턴을 보임 - **Maggie Hassan**과 Bennie Thompson 등 의원들은 핵심 인프라 위협이 커진 시점에 CISA의 내부 보안 정책, 계약자 관리, 보안 문화에 의문을 제기함 - GitGuardian 통보 뒤 일주일이 지나도 일부 키 교체가 진행 중이었고, TruffleHog의 Dylan Ayrey는 5월 20일 기준 **RSA 개인키**가 살아 있었다고 밝힘 - 공개 GitHub 이벤트 피드는 방어자와 공격자 모두 감시할 수 있어, 2026년 4월 말 추가된 민감한 비밀값이 이미 악용됐을 위험이 남음 --- ### CISA 유출과 의회 질의 - **CISA 계약자**가 기관 코드 개발 플랫폼 관리자 권한을 가진 상태에서 “Private-CISA”라는 공개 GitHub 프로필을 만들었고, 여기에 내부 CISA 시스템 수십 개의 평문 자격 증명이 포함됨 - 커밋 로그에는 공개 저장소에 민감한 자격 증명을 게시하지 못하게 막는 **GitHub 내장 보호 기능**을 비활성화한 흔적이 남아 있었음 - CISA는 유출을 인정했지만 데이터가 얼마나 오래 노출됐는지에는 답하지 않음 - 사라진 Private-CISA 아카이브를 검토한 전문가들은 저장소가 2025년 11월 처음 만들어졌고, 정리된 프로젝트 저장소보다 개인 작업용 스크래치패드나 동기화 수단에 가까운 사용 패턴을 보였다고 판단함 - CISA는 서면 성명에서 “이번 사고의 결과로 민감한 데이터가 침해됐다는 징후는 없다”고 밝힘 ### 의원들이 제기한 보안 문화 우려 - **Sen. Maggie Hassan**은 [5월 19일 CISA Acting Director Nick Andersen에게 보낸 서한](https://www.hassan.senate.gov/imo/media/doc/letter_to_cisa_re_data_security.pdf)에서 사이버 침해 예방을 돕는 기관에서 이런 보안 실패가 발생한 경위에 심각한 의문이 생긴다고 밝힘 - Hassan은 미국 핵심 인프라를 겨냥한 중대한 사이버 위협이 이어지는 시점에 CISA의 내부 정책과 절차에 대한 우려가 커졌다고 지적함 - 이번 사고는 CISA 내부의 대규모 혼란 속에서 발생했으며, CISA는 Trump 행정부가 여러 부서에 조기퇴직, 바이아웃, 사직을 강제한 뒤 [인력의 3분의 1 이상과 거의 모든 고위 리더를 잃음](https://www.cybersecuritydive.com/news/cisa-cybersecurity-division-reorganization/812155/) - **Rep. Bennie Thompson**은 [5월 19일 서한](https://federalnewsnetwork.com/wp-content/uploads/2026/05/2026.05.19-T_Andrersen_F_BGT_DR_CISA-AWS-Credentials-Final.pdf)에서 이번 사고가 약화된 보안 문화나 CISA의 계약 지원 관리 역량 부족을 반영할 수 있다고 밝힘 - Thompson과 공동 서명자인 **Rep. Delia Ramirez**는 중국, 러시아, 이란 같은 적대 세력이 연방 네트워크 접근과 지속성을 확보하려는 상황에서 Private-CISA 저장소의 파일이 정보, 접근 권한, 로드맵을 제공했다고 봄 ### 끝나지 않은 자격 증명 무효화 - 보안업체 **GitGuardian**이 CISA에 데이터 유출을 처음 알린 지 일주일이 넘은 뒤에도 CISA는 노출된 키와 비밀값 다수를 무효화하고 교체하는 작업을 계속 진행 중이었음 - **TruffleHog**를 만든 **Dylan Ayrey**는 5월 20일 기준으로 Private-CISA 저장소에 노출된 RSA 개인키가 아직 무효화되지 않았다고 밝힘 - 이 RSA 개인키는 CISA 엔터프라이즈 계정이 소유하고 CISA-IT GitHub 조직에 설치된 GitHub 앱에 대한 접근 권한을 부여했으며, 모든 코드 저장소에 대한 전체 접근 권한을 가졌음 - Ayrey에 따르면 공격자는 이 키로 CISA-IT 조직의 모든 저장소 소스코드와 비공개 저장소를 읽고, 악성 자체 호스팅 러너를 등록해 **CI/CD 파이프라인**을 탈취하고 저장소 비밀값에 접근할 수 있었음 - 공격자는 브랜치 보호 규칙, 웹훅, 배포 키를 포함한 저장소 관리자 설정도 수정할 수 있었음 - KrebsOnSecurity가 5월 20일 [Ayrey의 발견](https://trufflesecurity.com/blog/cisa-leaked-admin-github-token-remained-live-2-days)을 CISA에 알린 뒤, CISA는 해당 RSA 개인키를 무효화한 것으로 보임 - Ayrey는 CISA가 기관 기술 포트폴리오 전반에 배포된 다른 핵심 보안 기술과 연결된 유출 자격 증명은 아직 교체하지 않았다고 밝힘 - CISA는 “식별된 유출 자격 증명이 교체되고 무효화되도록 관련 당사자 및 벤더와 적극 대응·조율하고 있으며, 시스템 보안을 보호하기 위해 적절한 조치를 계속 취할 것”이라고 답함 ### 공개 GitHub 이벤트 피드의 양면성 - **Truffle Security**는 GitHub와 여러 코드 플랫폼에서 노출된 키를 모니터링하고, 영향을 받은 계정에 민감 데이터 노출을 알리려 함 - GitHub는 공개 코드 저장소의 모든 커밋과 변경 기록을 포함하는 실시간 피드를 제공하며, 이런 구조가 노출 감지를 가능하게 함 - Ayrey는 사이버 범죄자들도 이 공개 피드를 모니터링하며, 코드 커밋에 실수로 게시된 API 키나 SSH 키를 빠르게 노린다고 밝힘 - Private-CISA GitHub 저장소에는 중요한 CISA GovCloud 리소스에 대한 평문 자격 증명 수십 개가 노출됨 - Ayrey는 사이버 범죄 조직이나 해외 적대 세력도 CISA 비밀값 게시를 봤을 가능성이 높으며, 가장 심각한 노출은 2026년 4월 말 발생한 것으로 보인다고 밝힘 - “GitHub 이벤트를 모니터링하는 누구나 이 정보를 갖고 있을 수 있다”는 점이 핵심 위험으로 남음 ### 기술적 통제의 한계 - *Risky Business* 보안 팟캐스트의 **James Wilson**은 GitHub로 코드 프로젝트를 관리하는 조직이 직원이 비밀 키와 자격 증명 게시 방지 기능을 끄지 못하게 하는 상위 정책을 설정할 수 있다고 봄 - 공동 진행자 **Adam Boileau**는 직원이 개인 GitHub 계정을 열어 민감하고 독점적인 정보를 저장하는 행위를 어떤 기술이 막을 수 있는지는 명확하지 않다고 봄 - Boileau는 이번 사고를 기술적 통제만으로 해결하기 어려운 **인간 문제**로 규정함 - 계약자가 업무 기기와 개인 기기 사이에서 콘텐츠를 동기화하려고 GitHub를 사용했다면, CISA가 관리하거나 볼 수 있는 범위 밖의 행위를 막기 어렵다는 한계가 드러남 - 기사 업데이트에서는 CISA 성명이 추가됐고, Truffle Security가 저장소의 가장 민감한 비밀값 일부가 2025년이 아니라 **2026년 4월 말**에 추가됐다고 밝힌 날짜 오류가 수정됨 ## Comments ### Comment 58158 - Author: neo - Created: 2026-05-25T02:37:11+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48238429) - 정말 **터무니없는 실수**임. “관리된 프로젝트 저장소라기보다 개인 작업용 메모장이나 동기화 수단으로 저장소를 쓴 패턴과 일치한다”라니, Git 기본 중 기본이 자격 증명을 넣지 않는 것 아닌가? 도대체 어떤 패턴과 일치한다는 건지 모르겠음 - 그 표현은 확립된 작업 방식이나 모범 사례라고 옹호하는 게 아님 “~와 일치하는 패턴을 보인다”는 말은 그냥 저장소가 어떻게 쓰인 것처럼 보이는지 설명하는 것뿐임. 즉 내부 프로젝트용 정부 소스 코드 묶음도 아니고, 대량 데이터 유출을 의도했다는 신호도 아니라는 식임 - 그 사용 방식이 어떤 패턴과 일치하는지는 이미 분명히 적혀 있음: 일종의 **개인 작업 메모장**처럼 썼다는 것 그 문장에 실제보다 더 많은 의미를 부여하고 있음. 그냥 관찰한 내용을 적은 것임 - 전혀 실수가 아님. 미국 정부는 **외국 정보기관에 완전히 뚫렸고**, 이 ‘침해’는 완전히 의도적이었다고 봄 - 공개 저장소에 커밋된 비밀값 하나당 1달러씩 받았다면 아마 은퇴할 수 있었을 것임. 물론 변명이 되지는 않음. 미국 정부도 결국 우리 같은 사람들로 구성돼 있지 않다고 pretending하는 건 꽤 우스움 - 더 유능한 **기술적 통제**라면, 임의의 계약자가 2025년 중반의 비밀번호를 집 컴퓨터로 복사할 수 있고 그 비밀번호가 30일은커녕 5일 뒤에도 여전히 동작하는 상황 자체를 막았어야 함 - 맞음. 사실 정부는 오래전부터 모든 것에 **스마트카드와 HSM**을 꽤 진지하게 쓰는 줄 알았음. 왜 누구에게든 뽑아낼 수 있는 자격 증명을 주는지 모르겠고, 자격 증명을 꺼낼 수 없는 하드웨어를 나눠주면 되는 것 아닌가 싶음 어떤 조직에서는 추가 비용이 문제가 되겠지만 여기서는 그럴 상황도 아님. 아니면 이런 프로젝트와 표준이 원래 CISA가 하던 일이었는데 작년에 공화당이 망가뜨려서 생긴 부패의 또 다른 증상일 수도 있음. 어쨌든 기술은 이런 일을 분명히 줄일 수 있고, 피할 수 없는 자연재해 같은 게 아님 - 국가 기밀을 다루지는 않지만 고객에게 민감하거나 가치 있는 데이터에는 접근함. 뭔가를 내 장치로 직접 내려받는다는 생각 자체가 이해가 안 됨 `"aws s3 cp s3://client/file - | less"` 같은 식으로 로그 파일을 내려받는 것도 별로임. 차라리 저렴한 인스턴스를 띄워서 고객의 VPC 안에서 데이터를 보는 편이 훨씬 낫다고 봄 - 전문가 조직을 **축소해 버리면** 작전 보안 역량을 포함해 많은 능력이 줄어드는 게 당연해 보임 2020년에 Chris Krebs는 도난 선거 주장을 반박했음. 2025년에 Trump는 Krebs를 해고하고 보안 인가를 취소해 CISA를 국장 없는 상태로 만들었음. [https://en.wikipedia.org/wiki/Chris_Krebs]() 2025년 3월에는 감축이 시작됐음. [https://techcrunch.com/2025/03/11/doge-axes-cisa-red-team-st...]() 2026년에도 여전히 국장이 없었고 거의 바닥난 상태로 운영 중이었음. [https://techcrunch.com/2026/02/25/us-cybersecurity-agency-ci...]() 이런 행보는 한 나라의 방어를 내부에서 의도적으로 약화시키고 혼란을 뿌리는 것과 일치함 - 외국의 적대 세력이 책임자라면 우리가 차이를 알아챌 수 있을까? - 솔직히 말하면 이건 **공격적인 무능**과 충성도 기준의 채용·해고에 더 직접적으로 들어맞음. 그런 바보들이 어떻게 채용과 해고 권한을 갖게 됐는지는 더 복잡한 문제라고 인정함 - Krebs는 2025년이 아니라 **2020년에 해고**됐음 - CISA는 Trump 행정부가 여러 부서 전반에서 **조기 퇴직, 바이아웃, 사직**을 밀어붙인 뒤 인력의 3분의 1 이상과 고위 리더 대부분을 잃었음 - 상원의원들이 CISA가 **선거 보안** 관련 노력을 왜 축소하는지 물어본 듯함[1]. Tulsi의 오늘 사임 시점도 이 일이 공개된 시점과 묘하게 맞물려 보임 [1][https://www.padilla.senate.gov/newsroom/press-releases/padil...]() - 미국 상원의원들이 왜 이렇게 난리인지 모르겠음. Trump는 예산안을 내면서 CISA 예산을 대폭 삭감하고 싶다고 아주 분명히 밝혔고, CISA에 선거 보안 사무소를 닫으라고도 직접 지시했음 이건 “Hannibal을 누가 죽였나” 밈임. Padilla와 Warner가 이걸 몰랐다면 그들 자신도 무능한 것임. 특히 작년에 이미 이 내용을 보도자료로 다뤘기 때문임: [https://www.padilla.senate.gov/newsroom/news-coverage/cnn-tr...]() Padilla, 왜 이 일이 있었던 걸 잊었나? - 대중교통의 **엔시티피케이션**이 떠오름. 예산을 줄이면 서비스 수준이 떨어지고, 그 뒤 부정적 여론이 따라옴 결국 그런 경로는 보안 계약업체를 통한 민영화 확대로 이어질 수 있음 - 자격 증명을 유출한 게 바로 **보안 계약업체**였음. 그러니 이미 민영화 확대의 최종 단계에 와 있는 셈임 - 예전에 **SF-86 양식 100만 건**이 유출됐던 게 기억남. 우리가 민감한 데이터를 맡길 만한지 판단하려고 엄청나게 개인적인 정보를 적어 넣는 그 양식 말임 - 그건 유출이 아니라 **침해**였음. 중국 국가안전기관이 저지른 사건임 - 그건 CISA가 아니라 **OPM** 아니었나? - 의원들은 답을 원하지만 정작 자신들은 답을 내놓지 않음. 이른바 감시자를 누가 감시하나? 의원들의 부패는 대규모로 벌어지는데, 키 하나가 공개되면 목이 날아가는 건가? 키는 아주 똑똑한 사람들도 실수로 자주 공개함 `rm -rf *`를 실행해 본 적 없나? 운영 데이터베이스를 날려 본 적 없나? 잘못된 서버 전원을 꺼 본 적 없나? 다들 있음 - 그들의 감시는 보살핌이 아니라 **통제**를 위한 것임. 은밀하게 적대적이고, “보살핌”은 명분일 뿐 현실이 아님 - 전문가여야 할 이 사람들이 인터넷에서 제대로 안전하지 못하다면, 다른 누구는 어떻게 인터넷에서 안전할 수 있을지 모르겠음 - 이건 **Doge 이후**임. Doge는 자기 일을 잘 해냈음. 슬프게도 많은 다른 사람들이 Doge의 거짓말을 그대로 따라 했음 - 진짜 핵심은 유출된 **AWS GovCloud 키**만이 아니라, 계약자가 GitHub의 비밀 스캔 보호 기능을 수동으로 꺼버렸다는 데 있음