요약 : 보안 외신 시큐리티어페어즈에 의하면 일간지 뉴욕타임즈의 소스코드가 침해됐다고 한다. 포챈(4chan)을 통해 일부 데이터가 공개되었으며, 이 데이터는 뉴욕타임즈 소유의 깃허브(GitHub) 리포지터리로부터 빠져나온 것으로 분석됐다. 유출된 데이터는 총 270GB에 달하며, 이를 통해 뉴욕타임즈가 5천 개도 넘는 소스코드 리포지터리를 운영해 왔다는 사실이 드러났다. 뉴욕타임즈는 올해 1월에 리포지터리로부터 데이터가 도난 당했음을 인정했다. IT 문서, 인프라 도구, 소스코드 등의 정보가 전부 유출됐다. 아직 공격자에 대해서는 알려진 바가 없다.


배경 : 포챈에 이 사실을 공개한 자는 공격자가 리포지터리에 노출된 깃허브 토큰을 확보해 해킹 공격을 실시할 수 있었다고 밝혔다. 깃허브 토큰만이 아니라 각종 접근 크리덴셜을 개발 및 사용 용이성을 위해 보호하지 않고 리포지터리 코드 내에 그대로 저장해놓는 경우가 많고, 따라서 일부 코드만 잘 열람해도 크리덴셜을 확보하는 게 어렵지 않다는 건 유명한 사실이다.

말말말 : “데이터 일부가 도난 당한 것은 맞지만, 뉴욕타임즈의 핵심이라고 할 만한 데이터들은 아니며 운영에도 아무런 차질이 없습니다.” -뉴욕타임즈-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>