GitHub: 두 가지 보안 업데이트로 GitHub Actions를 pwn request 공격으로부터 보호

GitHub는 2026년 6월 18일 GitHub Actions에 대한 두 가지 상호 보완적인 보안 업데이트를 발표했습니다. 둘 다 같은 근본적인 문제를 다룹니다. 신뢰할 수 없는 소스에서 온 코드가 저장소의 특권 환경에서 제어 없이 실행되는 것입니다.

pwn request란 무엇이며 왜 오랫동안 문제였는가

Pwn request는 외부 기여자가 포크에서 pull request를 열었을 때, 실행되는 워크플로가 특권 이벤트——가장 일반적으로 pull_request_target——를 사용하여 기본 저장소의 시크릿에 접근 권한을 얻는 공격입니다. 포크의 격리된 컨텍스트에서 실행되는 표준 pull_request 이벤트와 달리, pull_request_target은 코드베이스 컨텍스트에서 실행되며 GitHub 토큰과 저장된 시크릿에 접근할 수 있습니다. 이러한 공격 하나가 조직 전체의 CI/CD 체인을 위협할 수 있습니다.

actions/checkout@v7: 액션 수준의 안전한 기본값

인기 있는 checkout 액션의 새 버전은 보호적 동작을 기본 설정으로 도입합니다. pull_request_target 같은 특권 이벤트에서 액션은 포크 PR의 코드 가져오기를 거부하고 대신 저장소의 기본 브랜치를 체크아웃합니다. 이를 통해 수동 설정 없이 가장 일반적인 pwn request 공격 시나리오가 제거됩니다. 특정 워크플로에서 이전 동작이 필요한 팀을 위한 옵트아웃 플래그가 제공됩니다. 이전 버전 checkout 액션으로의 백포트는 2026년 7월 16일로 계획되어 있습니다.

워크플로 실행 보호: 조직 수준의 보호

동시에 GitHub는 워크플로 실행 보호를 공개 미리 보기로 도입했습니다——GitHub 조직 전체에서 행위자와 이벤트 유형별로 허용 목록을 정의할 수 있는 관리자 메커니즘입니다. 워크플로 내 개별 단계 수준에서 보호를 제공하는 checkout@v7과 달리, 이 기능은 워크플로 실행이 시작되기 전에 적용됩니다. 관리자는 누가 어떤 이벤트 유형으로 워크플로를 트리거할 수 있는지 정확하게 지정할 수 있습니다——외부 기여자, 봇, 알 수 없는 행위자를 체계적으로 제외하거나 조건부로 허용할 수 있으며, 개별 워크플로 파일을 수정할 필요가 없습니다.