메갈로돈 악성코드, GitHub CI/CD 노린다

“GitHub의 CI/CD 파이프라인을 겨냥한 ‘메갈로돈’ 악성코드의 등장은 개발 생태계 전반의 보안 경각심을 극도로 높여야 할 시점임을 시사합니다.

이는 단순히 코드 저장소를 넘어, 소프트웨어 공급망 전체의 취약점을 파고드는 새로운 공격 트렌드의 시작일 수 있습니다.”

최근 GitHub에서 새로운 형태의 악성코드 캠페인이 포착되었습니다.

‘메갈로돈(Megalodon)’으로 명명된 이 악성코드는 GitHub의 CI/CD(Continuous Integration/Continuous Deployment) 인프라를 악용하여 약 5,000개 이상의 리포지토리를 감염시킨 것으로 추정되며, 실제 분석 결과 3,500개 이상의 리포지토리에서 감염된 YAML 파일을 발견했습니다.

이는 개발 워크플로우의 핵심 부분을 노리는 정교한 공격으로, 소프트웨어 공급망 보안에 대한 심각한 위협을 제기하고 있습니다.

메갈로돈: CI/CD 파이프라인 침투의 서막

이번 메갈로돈 캠페인은 GitHub 리포지토리에 가짜 자동화 커밋(fake automated commits)을 삽입하는 방식으로 확산됩니다.

사용자가 이 커밋을 승인(merge)하면, 악성코드는 해당 리포지토리의 CI/CD 파이프라인 내에서 실행됩니다.

이 과정에서 파이프라인에 접근 가능한 민감한 정보, 예를 들어 클라우드 자격 증명(AWS 액세스 키, 프로필, 리전 정보 등), SSH 키, API 키 등이 탈취됩니다.

탈취된 정보는 특정 명령어를 통해 aws configure list-profiles 와 같은 명령어로 수집되며, Base64로 인코딩된 정교한 정규 표현식 패턴을 사용하여 AWS, Slack, GitHub, PyPi, npm 등 다양한 서비스의 비밀 키를 탐색합니다.

공격자는 이 정보를 216[.]126[.]225[.]129 IP 주소의 C2(Command and Control) 서버로 전송하며, POST 요청 시 “megalodon” 문자열을 파라미터로 사용합니다.

이는 개발자의 로컬 환경 변수, 클라우드 설정, Docker, Terraform, bash 히스토리 등 광범위한 영역에 걸쳐 영향을 미칠 수 있습니다.

기존 공격과의 비교: 진화하는 위협

메갈로돈 악성코드는 이전의 TeamPCP 관련 공격 사례와 유사한 맥락을 보입니다.

TeamPCP 공격에서도 가짜 봇(ci-bot@automated.dev, build-system@noreply.dev)을 사칭한 커밋과 함께 고정된 날짜(예: 2001년 9월 17일)를 사용했습니다.

TeamPCP의 자체 유출 소스 코드에서는 2099년 1월로 설정된 가짜 커밋 날짜가 관찰되기도 했습니다.

이러한 특징은 공격자들이 자동화된 개발 환경의 신뢰성을 악용하려는 의도를 명확히 보여줍니다.

또한, 악성코드가 수집하는 정보의 범위가 AWS 자격 증명을 넘어 GitHub Actions, Bitbucket 토큰까지 확장된다는 점은 개발자가 사용하는 다양한 도구와 플랫폼의 보안 취약점을 복합적으로 노리고 있음을 시사합니다.

한국 시장 및 국내 개발 생태계에 미칠 영향

메갈로돈과 같은 CI/CD 기반 악성코드의 확산은 국내 개발 생태계에도 상당한 파급 효과를 가져올 수 있습니다.

많은 한국 스타트업 및 기업들이 GitHub를 포함한 클라우드 기반 개발 환경을 적극적으로 도입하고 있습니다.

따라서 이러한 공격은 단순히 해외 기업의 문제가 아닌, 국내 개발 프로젝트의 보안성을 직접적으로 위협할 수 있습니다.

특히, CI/CD 파이프라인은 빌드, 테스트, 배포 등 소프트웨어 개발의 핵심 단계를 자동화하므로, 이 부분이 침해당할 경우 민감한 소스 코드, 고객 데이터, 그리고 기업의 핵심 기술 자산까지 유출될 위험이 있습니다.

또한, 이러한 공격으로 인한 피해 발생 시, 기업의 신뢰도 하락은 물론 법적, 재정적 책임 문제로 이어질 수 있습니다.

국내 개발자들은 GitHub Actions와 같은 CI/CD 서비스를 사용할 때 더욱 엄격한 보안 점검과 credential 관리에 만전을 기해야 합니다.

이미 npm과 같은 플랫폼에서 2FA 우회 토큰을 무효화하는 등 보안 강화 움직임이 있지만, 근본적인 악성코드 유입 경로 차단에 대한 논의가 시급합니다.

GitHub Advanced Security 와 같은 솔루션 도입 및 지속적인 보안 교육이 필수적입니다.

대응 방안 및 권고 사항

이러한 공격에 효과적으로 대응하기 위해서는 다층적인 보안 전략이 요구됩니다.

가장 시급한 조치로는 악성코드의 C2 서버 216[.]126[.]225[.]129로의 네트워크 연결을 즉시 차단하는 것입니다.

더불어, 감염 가능성이 있는 시스템에 대한 모든 자격 증명(credentials), SSH 키, 민감한 API 키를 즉시 취소하고 새로운 것으로 교체해야 합니다.

GitHub 리포지토리 자체에 대한 감사도 필수적입니다.

GitHub Actions 설정, 관련 YAML 파일, 그리고 비정상적인 커밋 이력을 면밀히 검토하여 감염 여부를 확인해야 합니다.

이 과정에서 Q0I9Imh0dHA6Ly8yMTYu 와 같은 특정 Base64 인코딩 문자열을 검색하는 것이 감염된 YAML 파일을 찾는 데 도움이 될 수 있습니다.

결론: 개발 생태계 보안, 이제는 선택이 아닌 필수

메갈로돈 악성코드의 확산은 개발자 커뮤니티와 기업들에게 소프트웨어 공급망 공격의 현실적인 위협을 다시 한번 상기시킵니다.

GitHub와 같은 플랫폼 제공업체는 물론, 사용자 개발자 개개인 역시 보안에 대한 경각심을 높이고 능동적인 대응 방안을 마련해야 합니다.

단순히 코드만 안전하게 작성하는 것을 넘어, 개발 워크플로우 전반의 보안 강화가 절실한 시점입니다.

자주 묻는 질문 (FAQ)

Q: 메갈로돈 악성코드는 어떻게 GitHub 리포지토리를 감염시키나요?

A: 메갈로돈은 가짜 자동화 커밋을 통해 GitHub 리포지토리에 침투합니다.

사용자가 이 커밋을 승인하면, 악성코드는 CI/CD 파이프라인에서 실행되어 민감한 자격 증명을 탈취하고 확산됩니다.

Q: 공격자는 어떤 정보를 탈취하려고 하나요?

A: 공격자는 AWS 자격 증명, SSH 키, GitHub 및 기타 서비스의 API 키 등 개발 환경에 접근 가능한 광범위한 민감 정보를 탈취하려 합니다.

이는 로컬 환경 변수, 클라우드 설정, Docker, Terraform 등 다양한 소스를 포함합니다.

Q: 국내 개발자들은 이 위협에 어떻게 대비해야 하나요?

A: 국내 개발자들은 GitHub Actions와 같은 CI/CD 서비스 사용 시 보안 설정을 강화하고, 민감한 정보는 최소한으로 유지하며, 정기적인 credential 로테이션 및 코드 감사를 수행해야 합니다.

또한, 최신 보안 위협 동향을 주시하고 보안 교육에 적극 참여하는 것이 중요합니다.

Q: GitHub 외 다른 코드 저장소도 이 악성코드의 영향을 받을 수 있나요?

A: 현재까지는 GitHub 리포지토리를 중심으로 감염이 확인되었지만, 유사한 CI/CD 환경을 사용하는 다른 코드 저장소 플랫폼 또한 잠재적인 공격 대상이 될 수 있습니다.

따라서 모든 개발 플랫폼에서 보안 점검을 강화하는 것이 권장됩니다.

출처: https://www.ox.security/blog/megalodon-cicd-malware-github/