테크플러스

소프트웨어 개발에 몸담은 사람이라면 '깃허브(GitHub)'라는 이름을 익히 들어봤을 것이다. 깃허브는 소스 코드 호스팅 서비스이자 소프트웨어 개발 플랫폼이다. 무료로 제공되는 서비스인 데다 누구나 자신이 만든 프로그램의 소스 코드를 올려 관리할 수 있기 때문에 프로그래머에게 깃허브 계정은 포트폴리오처럼 취급되기도 한다.

그런데, 프로그래머의 성지나 다름없는 깃허브가 난데없이 암호화폐 채굴자들의 표적이 됐다. 깃허브에서 제공하는 기능을 악용해 깃허브를 암호화폐 채굴장처럼 사용했다는 소식이다. 어떻게 이런 일이 가능했을까.

깃허브는 자체적으로 다양한 기능을 제공한다. 그중 '깃허브 액션(GitHub Action)'은 깃허브 저장소 내에서 코드 프로젝트를 빌드, 테스트, 패키지, 릴리스 또는 배포하기 위해 설정할 수 있는 사용자 지정 자동화 프로세스이다. 채굴자들은 이 기능의 허점을 악용했다.

보안 연구자들의 발표에 따르면, 채굴자들은 깃허브가 특정 암호화폐 채굴 프로그램을 설치하고 가동하도록 깃허브 액션 요청 코드를 짰다고 한다. 이 코드를 통해 아주 짧은 요청만으로 최대 100개의 암호화폐 채굴 프로그램을 깃허브 인프라에서 가동할 수 있었으며, 계정마다 요청을 수백 건씩 전송하는 바람에 어마어마한 연산 부담이 가해졌다고 한다.

조사 결과 깃허브에 이런 악성 계정이 다수 있는 것으로 밝혀졌으나, 아직 뚜렷한 대응 방안은 없는 것으로 알려졌다. 깃허브에서 정식으로 제공하는 기능을 사용한 작업인 데다, 만약 이런 악성 요청을 전송하는 계정을 차단해도 채굴자들이 새 계정을 만들어 계속 채굴을 시도하기 때문. 일부 명령어가 한자로 이루어진 것으로 보아 깃허브 서버를 채굴장으로 악용하는 행위가 중국에서 발생한 것으로 추정하고 있을 뿐이다.

문제는 다른 사람이 수정을 요청하며 공개한 프로그램 소스 코드에 악성 요청 코드를 심어두기도 한다는 것. 깃허브에 게시된 공개 소스 코드가 워낙 많아 어떤 코드에 악성 요청이 숨어있는지 전부 조사하기는 현실적으로 어려운 상황이다.

깃허브에는 누구나 소스 코드를 올릴 수 있는 만큼 이 같은 악성코드도 얼마든지 업로드될 여지가 있다. 신뢰할 수 없는 개발자의 코드는 가급적 접하지 않고, 만약 깃허브를 사용하고 있다면 중요한 소스 코드는 비공개로 전환해 의도치 않게 변조당하는 것을 예방하길 권장한다.

테크플러스 에디터 이병찬

tech-plus@naver.com