by Wizard

GitHub, npm 보안 강화: 2FA 의무화 및 레거시 토큰 폐지

최근 깃허브(GitHub)가 npm(Node Package Manager) 패키지 게시 보안 강화를 위해 대대적인 변화를 예고했습니다. 2단계 인증(2FA) 의무화, 레거시 토큰 폐지, Trusted Publishing 확대 등이 주요 내용입니다. 이는 최근 발생한 고위험 공격 및 해킹 시도에 대한 대응으로 풀이됩니다.

보안 강화의 핵심 내용

깃허브는 앞으로 로컬 게시 시 2FA를 필수로 적용하고, 세분화된 권한을 가진 토큰의 유효 기간을 7일로 제한할 예정입니다. 또한, Trusted Publishing을 확대하고 토큰 기반 게시를 기본적으로 제한하여 보안을 강화합니다. 기존의 레거시 클래식 토큰은 폐지되며, TOTP 기반 2FA 역시 FIDO 기반 2FA로 마이그레이션이 강제됩니다. 로컬 패키지 게시를 위한 2FA 우회 옵션은 제거될 예정입니다.

단계적 적용 및 지원

깃허브는 이번 보안 변경 사항이 사용자 워크플로우에 미칠 영향을 고려하여 변경 사항을 점진적으로 적용할 계획입니다. 최소한의 혼란을 야기하면서 npm 보안을 강화하는 데 초점을 맞추고 있으며, 명확한 일정, 문서, 마이그레이션 가이드, 지원 채널을 통해 사용자들을 지원할 것을 약속했습니다. 오픈 소스 소프트웨어는 기업부터 소규모 사업체까지 다양한 규모의 조직에서 활용되는 중요한 자원이기 때문에, 이러한 변화는 업계 전반에 걸쳐 큰 영향을 미칠 것으로 예상됩니다.

Shai-Hulud 웜 공격 사례

최근 발생한 Shai-Hulud 웜 공격은 오픈 소스 생태계의 보안 취약점을 여실히 보여주는 사례입니다. 이 공격은 손상된 관리자 계정을 통해 npm 생태계에 침투하여 개발자들의 중요한 정보를 탈취했습니다. 깃허브는 이 공격으로 인해 500개 이상의 손상된 패키지를 제거하고, 잠재적 위협 요소를 포함한 새로운 패키지 업로드를 차단해야 했습니다. 이 사건은 소프트웨어 개발 공급망 공격의 위험성을 경고하며, 더욱 강력한 보안 대책의 필요성을 강조합니다.

공급망 공격의 증가와 보안의 중요성

오픈 소스 소프트웨어는 광범위하게 사용되는 만큼 사이버 범죄자들의 공격 대상이 되기 쉽습니다. Shai-Hulud 공격과 같은 사례는 오픈 소스 생태계에 대한 보안 위협이 현실임을 보여줍니다. 깃허브의 이번 보안 강화 조치는 이러한 위협에 대응하기 위한 중요한 발걸음입니다. 사용자들은 2FA 설정, 토큰 관리 강화, Trusted Publishing 활용 등 깃허브의 권장 사항을 적극적으로 따르고, 자신의 계정과 프로젝트를 안전하게 보호해야 합니다.