요약 : 보안 외신 핵리드에 의하면 깃허브(GitHub)에서 중대한 설계 오류가 발견됐다고 한다. 비밀 리포지터리 혹은 삭제된 리포지터리의 데이터에 아무나 접근할 수 있게 해 주는 취약점으로, 이 때문에 각종 민감 정보가 노출될 위험에 처하게 됐다. 취약점이 아니라 설계 단계에서부터 도입된 기능인 CFOR이 문제의 근원이기 때문에 오류 수정이 쉽지 않아 보인다고 한다. 그렇다는 건 공공 리포지터리에 올린 코드가 영원히 열람될 수 있다는 뜻이 될 수도 있다고 보안 업체 트러플시큐리티(Truffle Security)는 지적한다. 공격자에게 필요한 건 커밋 해시(commit hash)에 대한 정보 뿐이다. 이는 깃허브의 UI를 겨냥한 브루트포스 공격 등의 기법을 통해 얻어낼 수 있다. 깃허브는 원래 의도된 것이므로 오류라고 할 수 없다는 입장이다.


배경 : 깃허브가 ‘의도’는 아무나 모든 데이터에 접근할 수 있게 된다는 것이 아니다. CFOR이란 ‘교차 포크 객체 참조(Cross-Fork Object Reference)의 준말인데, 사용자들이 또 다른 포크에 있는 커밋 데이터에 곧바로 접근할 수 있게 해 주는 기능이다. 이번에 트러플시큐리티가 지적한 건, 이 기능 때문에 비밀 데이터나 삭제된 데이터에도 접근이 가능하게 된다는 것으로, 문제를 해결하려면 CFOR이 사라지던가 작동 방식이 바뀌어야 한다. 깃허브가 ‘의도’라고 한 건, CFOR 본연의 기능을 말하는 것이지, 악용 가능성까지 아우르는 건 아니다.

말말말 : “CFOR을 지금 상태로 놔둘 경우 공격자는 지워진 포크 데이터, 지워진 리포지터리 데이터, 비밀 리포지터리 데이터에 접근할 수 있게 됩니다. 그러므로 깃허브에 데이터를 올릴 때 조심스럽게 선정해야 합니다.” -트러플시큐리티-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>