Grafana GitHub 토큰 유출로 인해 코드베이스 다운로드 및 금전 갈취 시도 발생

그라파나가 깃허브 토큰 유출로 인한 소스 코드 다운로드 및 데이터 협박 공격을 받았으나, FBI의 지침에 따라 인질 몸값 지불을 거부했습니다.

전문 번역

그라파나(Grafana)는 "인증되지 않은 당사자"가 회사의 깃허브(GitHub) 환경에 접근하여 소스 코드를 다운로드할 수 있는 토큰을 획득했다고 밝혔습니다.

그라파나는 X(구 트위터)에 게시한 일련의 글을 통해 "자체 조사 결과 이번 사건 동안 고객 데이터나 개인 정보에는 접근하지 못한 것으로 확인되었으며, 고객 시스템이나 운영에 미친 영향에 대한 증거도 발견하지 못했다"라고 말했습니다.

회사는 또한 해당 활동을 발견한 즉시 포렌식 분석에 착수했으며 유출 출처를 식별했다고 밝혔습니다. 아울러 침해된 인증 정보는 이후 무효화되었으며, 무단 접근을 방지하기 위해 추가적인 보안 조치가 시행되었다고 덧붙였습니다.

더 나아가 그라파나는 공격자가 회사를 블랙메일하고 협박하며, 도난당한 데이터베이스가 공개되는 것을 막고 싶다면 대가를 지불하라고 요구했다고 밝혔습니다.

그라파나는 미국 연방수사국(FBI)의 지침을 인용하여 랜섬웨어를 지불하지 않기로 결정했습니다. FBI는 범죄자와의 랜섬웨어 협상이 피해 기업이 데이터를 되찾는 데 도움이 된다는 보장이 없기 때문에 이에 대해 이전에 경고한 바 있습니다.

FBI는 웹사이트를 통해 "이는 또한 범죄자들이 더 많은 피해자를 표적으로 삼도록 격려하고, 다른 이들이 이러한 유형의 불법 활동에 가담하도록 유도하는 인센티브를 제공한다"라고 명시하고 있습니다.

그라파나는 이번 사건이 언제 발생했는지 또는 위협 행위자가 언제부터 자사 환경에 접근했는지 밝히지 않았으며, 단지 "최근"에 공격 사실을 알게 되었다고만 밝혔습니다. 이번 침해 사건은 아직 알려진 위협 행위자나 그룹의 소행으로 귀속되지 않았습니다.

그러나 핵매낙(Hackmanac)과 랜섬웨어라이브(Ransomware.live)의 보고서에 따르면 코인베이스카르텔(CoinbaseCartel)이라는 사이버 범죄 그룹이 이번 사건의 배후를 자처하고 나섰습니다.

할시온(Halcyon)과 포티넷 포티가드 랩스(Fortinet FortiGuard Labs)가 공유한 세부 정보에 따르면, 코인베이스카르텔은 2025년 9월에 등장한 데이터 협박 조직입니다. 이들은 샤이니헌터스(ShinyHunters), 스캐터드 스파이더(Scattered Spider), 랩수스(LAPSUS$) 생태계의 파생 조직으로 평가됩니다.

전통적인 랜섬웨어 그룹과 달리 데이터 도난 및 협박에만 집중하는 이 그룹은 의료, 기술, 운송, 제조업, 비즈니스 서비스 분야에 걸쳐 170개의 피해자를 양산했습니다.

회사는 공격자가 어떤 소스 코드를 다운로드했는지도 밝히지 않았으나, 그라파나는 애플리케이션 및 인프라를 위한 완전 관리형 클라우드 호스팅 관측 플랫폼인 그라파나 클라우드(Grafana Cloud)와 같은 다양한 솔루션을 제공하고 있습니다. 더 해커 뉴스는 그라파나 측에 논평을 요청했으며, 답변을 받는 대로 내용을 업데이트할 예정입니다.

이번 사태는 미국 교육 기술 기업 인스트럭처(Instructure)가 샤이니헌터스 협박 그룹이 미국 전역의 수천 개 학교 및 대학에 속한 수 테라바이트의 데이터를 유출하겠다고 위협한 후, 이들과 합의하기로 한 논란 여지가 있는 결정을 내린 지 며칠 만에 발생했습니다.