GitHub: 악성 VS Code 확장이 내부 저장소 약 3,800개를 침해하다

GitHub는 2026년 5월 20일, 이틀 전 발견된 보안 사고의 세부 내용을 공개했습니다. 미상의 공격자가 제3자 악성 VS Code 확장을 통해 직원 기기를 감염시키고, 약 3,800개의 GitHub 내부 저장소에 접근했습니다. 회사는 외부 포렌식 전문가와 공동으로 조사를 진행하고 있으며, GitHub 플랫폼 사용자 데이터 침해 증거는 없다고 강조했습니다.

공격이 성공한 이유는?

GitHub 공시에 따르면, 해당 확장은 VS Code Marketplace(Microsoft의 확장 레지스트리)에 게시되어 있었으며 직원이 일상 워크플로우 도구로 설치했습니다. 설치 후 확장은 기기에서 개발자 자격증명을 탈취했습니다——OAuth 토큰, SSH 키 또는 캐시된 Git 자격증명으로 추정되며, 이를 통해 공격자가 직원 VPN 외부에서 GitHub 내부 시스템에 인증할 수 있었습니다.

이 공격 경로는 최근 몇 년간 npm, PyPI, RubyGems를 괴롭혀 온 소프트웨어 공급망 공격과 동일한 패턴으로, 런타임 패키지 관리자 대신 IDE 확장 레이어를 표적으로 삼은 것입니다. Microsoft VS Code Marketplace에는 50,000개 이상의 확장이 등록되어 있으며, 그 검증 프로세스는 이전까지 핵심 방어 수단으로 여겨지지 않았습니다.

공격자가 접근한 내용은?

공격자는 해커 포럼 게시물에서 약 3,800개의 GitHub 내부 저장소에 접근했다고 주장했으며, GitHub의 조사는 이것이 자체 발견 내용과 일치한다고 평가했습니다. 일부 내부 저장소에는 고객 지원 코드 스니펫과 내부 빌드·인프라·테스트 아티팩트가 포함되어 있습니다. 프로덕션 사용자 베이스(사용자 코드, 이슈, PR)는 영향을 받지 않았습니다.

GitHub는 즉시 해당 직원의 엔드포인트를 격리하고, 프로덕션 키를 최우선으로 긴급 자격증명 교체를 실시했으며, 의심스러운 패턴에 대한 내부 시스템 지속 모니터링을 활성화했습니다.

AI 코딩 툴링에 대한 광범위한 시사점은?

이 사건은 AI 코딩 에이전트(Claude Code, Copilot agent mode, Cursor, Windsurf)가 기능 확장을 위해 확장 및 MCP 서버를 적극적으로 통합하는 시점에 발생했습니다. 설치된 확장이나 MCP 서버는 모두 개발자 자격증명에 접근 가능한 새로운 공격 경로가 됩니다. IDE와 동일한 프로세스에서 실행되는 도구 체인은 대개 사용자 본인과 동일한 권한을 갖기 때문입니다.

GitHub는 조사 완료 후 전체 사후 분석 보고서를 발표할 예정이며, 개발자 커뮤니티에 확장 게시자에 대한 더 엄격한 법적·기술적 기준을 촉구했습니다. 여기에는 필수 코드 서명, 런타임 샌드박스 격리, 자격증명 접근에 대한 명시적 권한 부여가 포함되지만, 이는 현재 VS Code Marketplace에서 요구되지 않는 항목들입니다.